랜섬웨어 피해가 급증했다. 랜섬웨어란 몸값을 뜻하는 `Ransom`과 `Software`의 합성어로, 사용자 PC에 저장된 파일을 모두 암호화하고 돈을 요구하는 악성 코드다.
랜섬웨어에는 사용자 파일을 암호화해 피해를 발생시키는 방식 외에도 다양한 수법이 있다. 대표 사례로 윈도 부팅 영역이 담겨 있는 MBR(Master Boot Record)를 변조하는 악성 코드와 같이 사용자의 PC 사용을 방해, 금전 결제를 요구한다. 오늘은 그 가운데에서도 파일 암호화로 인한 피해를 주는 랜섬웨어를 중심으로 이야기한다.
지난 2013년 크립토로커라는 랜섬웨어가 해외에서 발견되면서 주목을 받기 시작했다. 크립토로커 등장 이후 랜섬웨어가 전 세계에 유행됐다. 국내에 피해가 본격 발생하기 시작한 것은 2015년 4월이다. 모 유명 커뮤니티 사이트 광고 서버가 해킹되면서 사이트에 접속한 모든 사용자에게 유포되는 드라이브 바이 다운로드(Drive-by Download) 방식을 사용, 피해를 줬다.
이달 초에는 유명 커뮤니티 사이트를 비롯해 상당수 언론사 사이트에서 광고 배너를 통해 랜섬웨어가 배포, 두 번째 대규모 침해 사례가 발생했다. 이 침해 사례로 6월 말까지 1개월 신고 건수가 2015년 한 해 신고 건수를 넘을 것으로 예상된다. 랜섬웨어 종류 또한 지난해 8종류로 조사된 반면에 올해 상반기에만 13종류가 발견됐다.
피해를 본 감염자 수만 2015년 한 해 5만3000명에 이르며, 피해액도 1090억원으로 추산된다. 랜섬웨어침해대응센터에 따르면 올해에는 15만명이 감염되고, 피해액도 3000억원으로 늘어날 것으로 전망된다.
최근 부산시를 비롯한 일부 지방자치단체의 전산망에까지 랜섬웨어 피해가 발생했다. 부산시에 따르면 부산시 PC 7대, 관내 기초자치단체 PC 3대 등 총 10대가 랜섬웨어에 감염됐다. 이는 국내 관공서에서 처음 발생한 피해 사례로, 랜섬웨어가 개인뿐만 아니라 국가기관에까지 깊숙이 침투한다는 것을 보여 준다.
기존의 악성 코드도 피해를 주긴 했지만 백신 프로그램으로 치료하거나 파일 한두 개 지우는 정도로 해결이 가능하다. 일반 사용자는 악성 코드 위험성을 크게 체감하지 못한다. 하지만 랜섬웨어는 우리가 지금까지 알고 있는 악성 코드와 질이 다르다. 랜섬웨어는 사용자가 주로 사용하는 문서, 그림, 사진의 확장자를 검색해 암호화한다.
예를 들어 PC에 수년 동안 사진을 저장한 사용자 파일을 모두 암호화한다. 업무와 관련된 중요 문서 파일들을 모두 암호화시켜서 업무를 마비시킨다. 랜섬웨어 침해신고 실제 사례는 아기 가족 사진, 수험 정리 자료, 방산 설계도 개발 도면, 소송 자료, 세무 회계 자료, 임상 실험 자료 등 다양하다. 어느 하나 중요하지 않은 파일이 없다.
크래커는 금전을 요구하며 복호화를 약속하지만, 돈을 송금한다 하더라도 이를 복호화시켜 줄지는 미지수이다. 그 돈이 테러단체나 또 다른 범죄에 사용된다면 더 큰 피해를 불러온다.
최근 검거된 크래커로부터 발견된 암호키 값들을 이용, 랜섬웨어 복구 프로그램을 배포했다. 어디까지나 지금까지 유포된 랜섬웨어에 한해서만 적용이 가능하다. 수많은 변종 랜섬웨어가 유포된 시점에서 이 복구 프로그램을 이용한다 하더라도 복구 가능성은 제로에 가깝다. 결국 랜섬웨어는 감염되면 이를 해결할 방법이 없다. 어느 악성 코드보다 예방이 중요하다.
유포 경로도 다른 악성 코드와 마찬가지로 다양하다. 취약한 사이트를 통해 사용자에게 유포되거나 이메일 첨부 파일 등으로 감염된다. 일반 사용자 입장에서 이용하고자 하는 사이트의 보안 상태를 수시로 판단하기 힘들다. 교과서 수준의 대비책이지만 웹사이트 관리자는 항상 보안취약점을 개선해야 하고, 사용자는 의심되는 이메일은 삭제하는 것이 좋다.
최근 백신 프로그램에서 행위 기반 탐지를 기반으로 랜섬웨어 차단 기능을 추가했다. 백신에 랜섬웨어 차단 기능이 있는지 확인해 설치한다. 운용체계(OS) 보안 업데이트도 꾸준히 해야 예방할 수 있다.
가장 확실한 방법은 수시로 파일을 백업하는 것이다. 하지만 윈도에 내장된 백업 기능을 믿어서는 안 된다. 대부분 랜섬웨어는 윈도 복원 지점 파일을 삭제하는 기능이 있다.
랜섬웨어에 대한 위협은 증가 추세에 있다. 다시 한 번 강조하지만 완벽한 복구는 불가능하다. 감염 예방을 위해 꾸준한 백업, 백신과 OS 보안 업데이트를 항상 기억해야 한다.
이임영 한국정보보호학회회장(순천향대 교수) imylee@sch.ac.kr