랜섬웨어 공격이 새로운 국면으로 접어들었다. 공격자는 암호화에 이은 갈취에 머물지 않고 기업 망신주기, 정보유출 등 다양한 수법을 구사한다. 공격자가 거둬들이는 수익은 지난해 정점을 찍었다. 랜섬웨어가 전문성을 갖춘 새로운 사업으로 진화하면서 피해 가능성이 더 높아진다. 보안업계에서는 보안이 취약한 중소기업에 공격이 집중될 것으로 보고 합동 대응에 나섰다.
◇랜섬웨어, 단순 암호화·갈취로 시작
랜섬웨어가 등장한 것은 하루이틀 일이 아니지만 공격 수법은 최근에 급격히 진화했다. 공격 초기에는 주로 단순한 암호화와 금전 갈취에 집중됐지만 최근에는 정보유출 등 수익을 극대화하는 방향으로 수법이 바뀌었다.
역사상 첫 번째로 기록된 랜섬웨어는 1989년에 발생한 공격이다. 에이즈 연구자였던 조셉 포프 박사가 90개국 소재 동료 연구자들에게 보낸 플로피 디스크 2만장에 랜섬웨어가 담겨 있었다. 이때 유포된 랜섬웨어는 추후 '에이즈 트로이목마'라는 이름의 랜섬웨어로 진화했다.
2005년에는 '지피코더' '크로튼' '아카이브어스' 등 다양한 종류의 랜섬웨어가 등장했다. 이들 랜섬웨어는 1024비트 RSA 암호화를 적용해 복호화 시도를 무력화했다. 2009년 보안 소프트웨어(SW)를 가장한 '분도' 랜섬웨어가 유포됐으며, 파일 암호화 이전에 기기 로그인 자체를 불가능하게 만든 '윈록' 트로이목마도 2011년 나타나 활개를 쳤다.
경찰기관을 사칭한 랜섬웨어는 2012년 '레베톤' 랜섬웨어를 시작으로 급증하기 시작했다. 사이버범죄자는 주로 성인물 사이트 운영자 등 불법 콘텐츠 유포자를 대상으로 경찰 사칭 랜섬웨어를 유포했으며 복호화 대가가 아닌 '벌금'을 지불할 것을 요구했다.
2013년 공격자는 '크립토락커' 랜섬웨어를 통해 막대한 수익을 거뒀다. 크립토락커 랜섬웨어는 '게임오버 제우스'라는 봇넷을 통해 유포됐으며 봇넷이 사법당국에 의해 폐쇄되기 전까지 공격자는 최소 300만달러 수익을 거둔 것으로 추정된다.
2014년부터 공격자는 '토르(Tor)' 네트워크가 주는 익명성을 랜섬웨어에 악용했다. '크립토월' 랜섬웨어 공격자는 토르를 통해 2015년까지 약 3억2500만달러 수익을 올린 것으로 알려졌다. 공격자가 경찰 추적을 피하기 위해 암호화폐에 눈길을 돌린 것도 이때부터다. 이 해에는 모바일 기기를 겨냥한 랜섬웨어도 등장했다.
◇2016년부터 활성화
2016년은 랜섬웨어가 본격 활성화한 해다. 미국 연방수사국(FBI)에 따르면 2016년 1월부터 랜섬웨어 공격은 매일 4000건 이상 집계됐다. '록키' 랜섬웨어도 이 해에 등장했으며 맥 운용체계(OS)를 겨냥한 랜섬웨어도 이 해에 만들어졌다.
2017년은 '워너크라이' 랜섬웨어로 전 세계 기업과 기관이 비상 상태에 돌입한 해였다. 워너크라이는 총 150개국 2만대 컴퓨터를 감염시킨 역사상 최대 랜섬웨어 공격으로 기록됐다. 이 공격으로 인한 총 피해액은 약 40억달러에 달하는 것으로 집계됐으며 특히 영국 국가보건서비스(NHS)는 약 1억2500만달러 손실을 입은 것으로 추산됐다.
국내 기업도 랜섬웨어 공격을 피해가지 못했다.
2017년 웹 호스팅 업체 인터넷나야나는 '에레버스' 랜섬웨어에 감염돼 약 5000개 웹사이트가 피해를 입었다. 이 업체는 사이버범죄자와 협상을 통해 복호화 대가로 13억원을 지불하기로 결정, 보안업계 등으로부터 비판을 받았다.
지난해 이랜드그룹도 랜섬웨어 공격을 받았다. 이랜드 측은 '클롭' 랜섬웨어에 감염된 뒤 추가 피해 예방 등을 위해 일부 점포를 휴점하고 서버 전체를 셧다운했다. 이랜드를 공격한 클롭 랜섬웨어 공격자는 이랜드 내부에서 유출한 정보라고 주장하며 일부를 외부에 공개한 바 있다.
◇랜섬웨어 신종 사업화 '속도'
랜섬웨어는 양적, 질적으로 꾸준히 진화해 왔지만 코로나19 사태 속 사업화에 속도가 붙었다. 공격자는 무작위 유포, 갈취에서 탈피해 특정 조직을 집중 공격하는 표적형 전술을 구사하며 피해자가 금전을 지불하도록 '신뢰'를 구축하기 위한 포석도 깔고 있다.
카스퍼스키는 신종 랜섬웨어 공격을 '랜섬웨어 2.0'이라고 명명했다. 과거 무작위로 이메일을 유포한 뒤 감염 조직을 갈취하던 방식에서 나아가 특정 기업을 집중 공격하는 방식으로 진화한 랜섬웨어 공격을 일컫는다. 암호화 전에 정보를 빼돌린 뒤 이를 외부에 유포하겠다고 협박하는 압박 전술도 펼친다. 카스퍼스키 분석에 따르면 이 같은 방식을 도입한 '메이즈' 랜섬웨어 공격자는 지난 1년간 334개가 넘는 기업을 감염시켰다.
IBM 시큐리티 역시 비슷한 연구 보고서를 내놨다. IBM 시큐리티 연구진은 “랜섬웨어가 '이중 갈취' 전술로 진화하고 있으며 자체 대응한 공격 25%가 랜섬웨어였다”고 지적했다. 지난해 IBM 측이 가장 많이 관찰한 '소디노키비' 랜섬웨어는 갈취를 통해 최소 1억2300만달러 수익을 냈으며 피해자 약 67%가 몸값을 지불한 것으로 분석됐다.
국내 보안업체 에스투더블유랩은 다크웹 내 랜섬웨어 공격 동향을 분석해 매주 보고서를 발간하고 있다.
류소준 에스투더블유랩 책임연구원은 “랜섬웨어가 사업적으로 점점 더 장기화하고 대범해지고 있다”면서 “랜섬웨어 공격 조직이 수익을 지속 추구하는 과정에서 피해자 신뢰를 얻기 위해 복호화를 반드시 진행하는 식으로 수법이 진화했다”고 경고했다.
기존에 랜섬웨어 공격자는 피해자가 금전을 지불하더라도 복호화 키를 건네주지 않는 등 단기성 갈취 성격이 짙었다. 최근에는 금전 지불 시 반드시 복호화까지 진행하는 식으로 바뀌었다. 복호화가 절박한 피해자 심리를 노린 것이다. 사법당국과 보안업계에서는 금전을 지불하더라도 복호화가 보장되지 않고 범죄자에게 수익만 안겨주는 결과가 되니 금전을 지불해서는 안 된다고 권고해 왔다.
신규 랜섬웨어 출시 계획, 신종 협박 수법 등을 내세운 공격도 발견됐다. 한 랜섬웨어 공격 조직은 다크웹 포럼에 '랜섬웨어 2.0 버전' 출시 계획을 올렸으며 추가 공격을 포함한 '혁신 전략'을 밝힌 경우도 포착됐다.
◇경찰부터 업계까지 대응 '분주'
랜섬웨어 공격이 진화함에 따라 보안업계 등 대응도 시급해졌다. 경찰은 인터폴과 공조하면서 랜섬웨어 개발자와 유포자 검거에 나선 상태며 보안업계는 협의체를 꾸려 중소기업 대응 방안 등을 모색하고 있다.
경찰청은 지난달 국내에서 활동 중이던 '갠드크랩' 랜섬웨어 유포자를 검거, 구속하는 성과를 거뒀다. 다국적 범죄자에 의해 감행되는 공격이다 보니 인터폴 공조가 필수다.
이규봉 경찰청 사이버테러수사1대장은 “외국에 거주하는 브로커와 랜섬웨어 개발자 등 공범을 검거하기 위해 인터폴과 공조하고 있다”고 전했다.
업계에서도 민·관 합동 랜섬웨어대응협의체가 꾸려져 활동을 개시했다. 한국정보보호산업협회(KISIA), 과학기술정보통신부, 한국인터넷진흥원(KISA) 소속 20여명 관계자가 참여한다.
윤두식 랜섬웨어대응협의체 의장은 “랜섬웨어 공격자는 개인보다 기업을 집중 공격한다”면서 “대기업에 비해 상대적으로 공격에 취약한 600만개 중소기업을 랜섬웨어로부터 보호하기 위해 랜섬웨어 대응 훈련 체계를 마련하는 등 노력하겠다”고 말했다.
오다인기자 ohdain@etnews.com