직장인 K씨는 문서 작업 중 컴퓨터가 멈추는 현상을 겪었다. 나름 바이러스 백신 최신 업데이트 유지는 물론 컴퓨터 관리를 열심히 하는 편인데 당황스러웠다. 작업하던 자료는 문제가 없을까? 직장인 K씨는 발만 동동 굴렀다.

원인은 8월 30일 진행된 알약 랜섬웨어 탐지 강화 기능 업데이트가 문제였다. 정상 프로그램을 랜섬웨어로 인지해 PC 사용에 오류가 발생했으며, 다른 사용자들도 PC 사용중 멈춤과 블루스크린 등이 발생했다. 이스트시큐리티는 해당 오류를 수정한 업데이트를 적용 긴급 수동 조치 방안 등을 통해 발 빠른 대응을 보여줬고, 공지 사항을 통해 입장문을 공개하면서 일단락됐다.

많은 사람들이 랜섬웨어가 무섭다는 것은 안다. PC 사용이 필수적인 회사, 기업, 공공기관의 업무 PC에서 랜섬웨어로 중요 데이터를 잃는 다면 매우 치명적이다. 랜섬웨어 공격자들도 이를 잘 알고 해당 업체나 기관들을 대상으로 공격한 전례가 있다.

그래서 이스트시큐리티와 같은 여러 백신 제조사가 꾸준히 최신 업데이트를 유지해주는 이유가 이 때문이다. 다만 이번 알약 랜섬웨어 탐지 이슈는 안타까운 소식이다. 관리 기능을 제공하고자 했으나 문제가 발생했으니···.

그렇다면 랜섬웨어의 시작은 언제일까? 공격자들은 무슨 목적으로 개발했고, 소비자들이 대처할 수 있는 방법은 있는 걸까?

‘랜섬웨어’란 무엇일까? 로컬 및 네트워크 스토리지 ‘파일을 암호화’하고 파일을 해독하기 위해 ‘몸값을 요구’하는 멀웨어가 랜섬웨어다.

랜섬웨어에는 크게 두 분류로 나뉜다. 바이러스에 감염된 기기를 피해자가 사용하지 못하도록 CPU잠금, 사용자 인식 장치 제어 등 암호를 거는 방식이다. 그리고 크립토랜섬웨어 방식이다. 사용자 PC 문서 드라이브와 콘텐츠를 암호화하여 이를 사용할 수 없게 한다.

쉽게 설명해 PC를 잠궈 사용하지 못하게 하거나, 개인·회사·기업·단체·공공기관 등 PC에 저장돼 있는 모든 파일을(jpg, xlsx, docx, ai, mp4, sql and 등) RSA 2048bit 비대칭 암호화 방식으로 변조시킨다. 문제는 감염된 파일을 복구하기 전까지 해당 데이터를 읽을 수 없다는 점이다. 오직 방법은 공격자가 요구하는 비용을 지불한 후 해독키를 받는 것이다.

하지만 공격자에게 비용을 지불하더라도 해독키를 보내주지 않으면 피해자는 돈과 PC 자료 등 모든 것을 잃게 된다.

이에 따른 대처 방법은 있을까? 사실상 없다고 보는게 전문가들의 견해다. 만약 랜섬웨어 바이러스가 담겨 있는 ‘의심 파일’을 다운로드 받으면 백신이 알림을 주니, 실행하지 말고 삭제할 것을 추천한다. 이미 랜섬웨어에 감염된 상황에 PC를 초기화(포멧)를 권장한다.

인류 최초의 랜섬웨어로 알려진 사건은 1989년 하버드 대학의 Joseph Popp 박사가 제작한 AIDS 트로이목마다. Popp박사는 WHO에서 주최한 AIDS(후천성면역결핍증후군) 연구회에 참석한다. 회담 준비 과정에서 박사는 ‘AIDS 정보 소개 파일’을 담은 플로피 디스크를 다른 참석자에게 보내는데 여기서 시작된다.

다른 참가자들은 플로피디스크의 정보를 확인하기 위해 실행했지만, 사실은 랜섬웨어를 가지고 있던 트로이목마 바이러스였던 것.

하지만 해당 플로피 디스크 바이러스는 바로 동작하지 않고, PC를 90번 재부팅 할 때 모든 파일을 암호화하도록 했다. 이는 박사가 자신의 플로피 디스크에 바이러스가 숨겨져 있는 사실을 감추기 위한 설계였다. 그리고 암호화된 파일을 복구하기 위해선 189$의 금액을 송금해야 한다는 메시지를 띄웠다. 이 사건이 최초의 랜섬웨어이자 AIDS 트로이목마다.

그 후 16년이 지난 2005년 인터넷 시대에 맞춰 지피코더, 크로튼, 아키비우스 등의 다양한 랜섬웨어가 등장하고, 공격자들이 본격적인 수익 창출이 시작된다.

랜섬웨어의 본격적인 수익 창출은 2009년의 분도와 레베톤이 대표적이다.

초창기 분도는 컴퓨터 시스템을 감염시켜 가짜 보안 소프트웨어를 설치하는 방식을 사용했다. 하지만 2009년부터 컴퓨터 파일을 암호환 후 이를 복구하는데 필요한 해독키를 판매하는 방식 즉, 랜섬웨어로 변한다.

2012년 등장한 레베톤은 경찰 사칭 공권력을 모방한 랜섬웨어로 유명하다. 바이러스에 노출된 기기에는 경찰 기관 혹은 정부를 사칭한 공격자에게 ‘해당 기기에서 불법 행위가 적발됐다’는 메세지를 수신 받는다. 그 후 IP주소 및 실시간 메시지를 보내 온라인상에서 감시되고 있다는 불안감을 주고, 해당 기기는 ‘몰수’라는 명목으로 사용 불가 처리된다. 다시 기기를 사용하려면 공격자에게 200$라는 가짜 벌금(해독키 값)을 지불해야 했다.

레베톤이 FBI와 경찰 등을 사칭해서 돈을 요구했다면 Cryptolocker는 피해자에게 대놓고 해독키 값을 요구한다. 피해자의 기기에 3일 이내에 요구한 금액을 지불하지 않으면, 암호화된 모든 파일을 삭제할 것이라는 협박 메시지를 띄우는 방식이다.

그리고 암호화된 방식도 진화한다. 기존 RSA 1024bit에서 2048bit로 더 강력해졌고, 암호화 방식도 구체적인 확장자 파일을 감염시킬 수 있게 된다. 더불어 개인키와 공개키 방식을 결합해 해독을 더욱 어렵게 만들었다.

뿐만 아니라 스피어 피싱 기법을 활용한다. ‘고객 불만 이메일 속’의 첨부파일 형태로 회사에 보내 기업 네트워크에 침투하는 방식 등 Cryptolocker는 다양한 방면에서 진화한 랜섬웨어다.

시간이 흘러 전 세계에 랜섬웨어 공포가 한번 더 엄습한다. 크립토웜에 가까운 이 랜섬웨어는 스스로 복제와 배포를 할 수 있었고, 윈도우 OS 서버메세지블록(SMB) 취약점을 이용해 자동으로 전파되는 점이 특징이다.

이를 통해 전 세계 약 25억 대의 컴퓨터가 감염됐고, 영국의 경우 의료 체계가 마비되는 큰 피해를 입었다. 여기서 충격적인 사실은 해당 취약점과 관련되서 미안보국(NSA)는 ‘사전에 인지하고 이를 사이버 무기로 개발하고자 했다’고 한다. 하지만 해당 개발 킷을 해킹 단체 ‘셰도우 브로커스’를 통해 유출되면서 역으로 랜섬웨어 피해로 되돌아온다.

윈도우 네트워크를 통해 감염됐던 랜섬웨어 방식으로 동일 네트워크를 사용하는 컴퓨터 중 단 한 대만 감염돼도 악성코드가 다른 컴퓨터를 찾아내 감염시킨다. 그래서 정부, 지자체, 공공기관 회사 등 역대 최악의 사이버 공격으로 기록됐다.

이와 관련하여 미 정부에서는 같은 해 12월 워너크라이의 배후가 북한이라고 지목한다. 하지만 관련 확증은 따로 공개하지 않아 북한측은 ‘억지로 우리와 연관 짓는다’는 입장을 발표한다. 다만 일본을 포함한 영국 등이 모두 미국의 발표에 지지하면서 사건은 마무리된다.

앞선 랜섬웨어들이 PC의 문서, 음악, 사진, 동영상, 엑셀 등 다양한 파일들을 모두 암호화한 다음 복구 비용을 요구했다면, 스마트폰 앱에서 발견된 ‘리커로커’는 개인정보를 볼모로 잡는다.

개인 이메일 주소와 주소록에 저장된 연락처는 물론, 크롬으로 접속한 웹사이트 목록과 통화내역, 스마트폰 카메라를 통해 몰래 카메라 촬영을 한다. 그 후 화면을 잠그고 해당 개인정보를 서버(클라우드)에 올렸으니 72시간 이내에 결제를 하라는 문구를 띄운다.

하지만 맥아피가 공식 블로그에서 밝힌 자료에 따르면 실제로 개인정보가 별도의 서버에 저장되는 경우는 없었으며, 결제 코드에 입력한 ‘신용카드 정보’만 가져가는 것으로 확인됐다고 밝혔다.

때문에 해당 랜섬웨어에 노출되어도 별도의 돈을 주지 않을 것을 권장했으며, 금액을 지불할지라도 붙잡힌 각종 개인 정보가 온전히 돌아올지도 미지수라고 전했다.

랜섬웨어라는 악성코드를 통해 공격자는 얻는 것은 무엇일까? ‘돈’이다. 그렇다면 피해자는? 돈과 데이터를 잃는다. 만약 랜섬웨어에 노출됐다면 공격자가 원하는 금액을 지불하는 것이 유일하다.

근본적인 해결 방법은 있을까? 없다. 사실상 정말 중요한 데이터라면 공격자가 요구하는 금액을 지불한 후 해독 키를 보내주기를 간절히 바래야 한다. 때문에 예비 대안으로는 NAS와 외장HDD 같은 별도의 스토리지에 백업하는 방법을 추천한다.

랜섬웨어를 안걸리기 위한 대처로는 사용자가 주의하는 것 외에는 없다. 수상한 URL 클릭 금지(클릭재킹 활용), 검증되지 않은 파일 실행 금지, E-mail 첨부된 수상한 파일 실행하지 않기 등이다.

지금도 스마트폰, 노트북 등 다양한 스마트기기가 랜섬웨어 노출에 우려되고 있다. 가까운 미래에는 거기서 그치지 않고 IoT 기기와 같은 기기도 표적이 될지도 모른다. 그렇기에 개인은 더욱 보안에 신경 써야한다. 윈도우 최신 업데이트 유지는 물론 백신 프로그램 주기적인 업데이트도 잊어서는 안된다.