"돈 내면 복호화 보장"···랜섬웨어, 신종 사업화

게티이미지뱅크
게티이미지뱅크

랜섬웨어가 신종 사업으로 자리잡으며 우려가 커진다. 랜섬웨어 공격자는 복호화에 대한 '신뢰'를 구축, 피해자로부터 금전 갈취에 열을 올리고 있다.

10일 경찰청과 보안업계에 따르면 랜섬웨어 수익성이 높아지면서 랜섬웨어가 급격히 산업화하는 것으로 파악됐다. 새로운 랜섬웨어 공격 조직도 급증했다.

류소준 에스투더블유랩 책임연구원은 “최근 랜섬웨어 갱이 다양하게 출현하는 추세”라며 “랜섬웨어가 사업적으로 점점 더 장기화하고 대범해지고 있다”고 경고했다.

랜섬웨어는 피해자가 금전을 지불하더라도 복호화 키를 건네주지 않는 등 단기성 갈취 성격이 짙었다. 최근에는 수익성 강화를 위해 금전 지불 시 반드시 복호화를 진행하는 식으로 수법이 진화했다. 복호화 보장 없이는 피해자가 금전을 지불하지 않는다는 심리를 노린 것이다.

류 연구원은 “랜섬웨어 갱이 수익을 지속 추구하는 과정에서 신뢰가 필요해진 것”이라면서 “일회성에 그치는 공격이 아니라 본격적으로 사업을 펼치기 위한 포석”이라고 분석했다.

랜섬웨어 공격 조직은 신규 랜섬웨어 출시 계획을 알리고 협박 전략을 공유하는 등 더욱 대담해지고 있다. 한 랜섬웨어 공격 조직이 다크웹 포럼에 '2.0 버전' 출시 계획을 올린 경우도 있었다. 피해 기업 협박 시 추가 공격 가능성을 통보하는 등 '혁신 전략'을 내세운 경우도 발견됐다.

랜섬웨어 공격이 심화하면서 경찰과 보안업계 대응도 분주해졌다. 다국적 범죄자에 의해 감행되는 랜섬웨어 특성상 국제 협력과 민·관 협력 수준이 높아지는 모습이다.

이규봉 경찰청 사이버테러수사1대장은 “지난달 갠드크랩 랜섬웨어 유포자 한 명을 구속했지만 수사는 여전히 진행 중”이라면서 “외국에 거주하는 브로커와 랜섬웨어 개발자 등 공범을 검거하기 위해 인터폴과 지속 공조하고 있다”고 말했다.

업계에서는 한국정보보호산업협회(KISIA) 주도로 민·관 합동 랜섬웨어대응협의체가 꾸려졌다. 과학기술정보통신부, 한국인터넷진흥원(KISA)이 공동 참여한다.

윤두식 랜섬웨어대응협의체 의장(지란지교시큐리티 대표)은 “랜섬웨어 공격자는 개인보다 기업을 대상으로 집중 공격을 펼친다”면서 “정보기술(IT)과 보안 예산, 인력을 일정 수준 갖춘 대기업에 비해 상대적으로 공격에 취약한 600만개 중소기업을 대상으로 대응 노력을 확대해갈 것”이라고 말했다.

윤 의장은 “협의체는 침해사고에 대한 공동 대응도 추진할 예정이지만 이보다 피해 예방에 집중할 계획”이라면서 “랜섬웨어 피해를 사전에 막도록 지원하기 위해 중소기업 대상 홍보를 늘리고 사전 훈련 등 랜섬웨어 대응 훈련 체계를 마련하겠다”고 덧붙였다.

랜섬웨어 공격 조직은 지난해 최소 3억7000만달러(약 4230억원) 수익을 거둬들인 것으로 추정된다. 랜섬웨어 대응 업체 코브웨어에 따르면 랜섬웨어 공격에 따른 범죄 수익은 2019년 3분기부터 급증 추세를 보였으며 지난해 수익은 역대 최고 수준을 기록한 것으로 나타났다.

오다인기자 ohdain@etnews.com