지난 12일 등장한 워너크라이 랜섬웨어(WannaCry Ransomware)가 단 며칠 만에 한국을 포함해 전 세계 150국에 확산됐습니다. 병원, 영화관, 버스 정류장 시스템 등 우리 생활과 밀접한 장소에서 감염 사례가 발생했습니다. 지금까지 랜섬웨어와 달리 스스로 네트워크를 통해 확산되는 방식이라 최근 몇 년간 발견된 랜섬웨어 가운데 가장 전파력이 컸던 것으로 평가됩니다. 해커들은 이런 랜섬웨어 공격을 통해 손쉽게 돈을 벌 수 있기 때문에 최근 들어 랜섬웨어가 세계적으로 기승을 부리고 있습니다.
랜섬웨어는 컴퓨터를 정상적으로 작동하지 않도록 잠그거나 컴퓨터에 저장된 파일을 암호화한 뒤 마치 인질(ransom)처럼 잡아두고 이를 풀어주는 조건으로 금전을 요구하는 것을 말합니다. 시만텍 인터넷 보안 위협 보고서에 따르면 지난해 시만텍이 확인한 새로운 랜섬웨어가 100종 이상이었고 전 세계 랜섬웨어 공격은 2015년 34만건에서 2016년 46만3000건으로 36%나 증가했습니다.
◇랜섬웨어의 역사…1980년대 트로이목마가 시초
랜섬웨어의 시초는 1980년대 후반에 나온 트로이목마입니다. 당시 해커들은 하드디스크의 정보를 암호화한 뒤 이를 풀고 싶으면 'PC 사이보그'라는 회사에 189달러를 내라고 요구했습니다. 이후 랜섬웨어는 이용자를 속여 금전적 이득을 얻는 사이버 범죄로 자리매김하며 다양한 형태로 진화했습니다.
2000년대 중반 등장한 '위장 애플리케이션(Misleading Application)'은 컴퓨터 처리 속도에 문제가 있다고 속인 뒤 문제를 해결할 수 있는 소프트웨어 구매를 유도했습니다. 2008~2009년에는 '사기성 안티바이러스(Fake Antivirus)' 형태의 랜섬웨어가 유행했는데, 컴퓨터가 악성 코드에 감염됐다고 경고하면서 소프트웨어 구매를 유도하거나 구매자가 취소하지 않는 한 매달 소액 결제되는 방식으로 돈을 뜯어냈습니다. 2011~2012년엔 컴퓨터 화면을 잠금 상태로 만들어 사용하지 못하게 하는 '로커(Locker) 랜섬웨어'가 유행했습니다. 컴퓨터 사용자가 성인용 사이트, 불법 도박 사이트 등을 방문했을 때 컴퓨터에 랜섬웨어를 설치하는 방식입니다. 로커 랜섬웨어는 단순히 컴퓨터를 사용하지 못하도록 잠그기만 한다는 것이 알려지면서 피해자들이 실제로 돈을 지불하는 사례는 많지 않았습니다.
그러자 해커들은 돈을 받아내기 위해 새로운 랜섬웨어를 개발합니다. 2013년 파일을 암호화하고 해독 키를 제공하는 조건으로 돈을 요구하는 크립토로커(Cryp tolocker) 랜섬웨어가 등장했습니다. 워너크라이 등 요즘 많이 보게 되는 랜섬웨어 유형입니다. 크립토 랜섬웨어는 컴퓨터 안에 저장되어 있는 오피스 파일·사진·동영상 등을 암호화하고, 피해자에게 암호를 풀 수 있는 해독 키를 얼마에 구입할 수 있다며 돈을 요구합니다. 그중 워너크라이 랜섬웨어는 마이크로소프트(MS) 윈도 운영체제의 보안 취약점을 통해 퍼지는 형태였습니다. 인터넷에 연결되어 있고 보안 패치를 하지 않은 경우 본인도 모르게 컴퓨터 바이러스에 감염되는 방식으로, 더욱 위협적인 랜섬웨어입니다.
랜섬웨어 감염은 일반적으로 이메일과 웹사이트 접속을 통해 이뤄집니다. 이메일에 Contract(계약)·Invoice(송장)·Order(주문)와 같은 제목을 붙이거나, 이메일 본문에 이용자 이름을 넣어 마치 아는 사람이 보낸 것처럼 속이는 방식입니다. 기술적으로도 진화하고 있습니다. 개인보다 보안이 상대적으로 강한 기업이나 병원 전산망에 침투해 랜섬웨어를 통해 파일을 암호화하고 더 많은 돈을 요구하는 공격도 빈번히 벌어지고 있습니다.
◇지난해 평균 요구 몸값 122만원… 전년 대비 3.7배
초기 랜섬웨어가 등장했을 때에는 카드 결제 등 일반적 금융 수단을 이용해서 돈을 요구했습니다. 하지만 거래 기록이 남는다는 단점 때문에 해커들은 익명성이 보장되는 지불 방식을 요구하게 됐습니다. 과거 로커 랜섬웨어에는 온라인으로 상품이나 서비스를 결제할 수 있는 '바우처'가 이용됐는데, 디지털 가상 화폐인 비트코인이 등장하면서 랜섬웨어의 지불 방식으로 널리 사용되고 있습니다. 비트코인은 중앙은행이나 금융회사 등을 거치지 않고도 컴퓨터와 인터넷만 되면 손쉽게 계좌를 개설할 수 있습니다. 익명성이 보장되고 비트코인 거래소를 통해 환전도 할 수 있습니다. 랜섬웨어 해커들이 요구하는 금액도 꾸준히 늘고 있습니다. 2016년 평균적으로 요구한 금액은 평균 1077달러(약 122만원)로, 2015년 294달러(약 33만원)에서 무려 3.7배 증가했습니다.
또한 해커들은 피해자에게 송금을 재촉하기 위해 파일 일부를 풀어주거나 비트코인 사용이 익숙하지 않은 피해자를 위해 다국어 콜센터를 운영하면서 비트코인 입금 방법도 친절하게 알려주는 등 조직적으로 움직이기도 합니다. 최근 랜섬웨어로 돈을 벌 수 있다는 사실이 보도되면서 모방 범죄까지 증가하고 있습니다.
랜섬웨어를 이용하는 해커의 정체는 아직까지 드러나지 않았습니다. 보안업계는 해커 집단이 돈을 벌기 위해 랜섬웨어 공격을 하는 것으로 추정하고 있습니다. 이번 워너크라이 랜섬웨어도 2014년 소니픽처스와 2016년 방글라데시 중앙은행을 해킹했던 라자루스(Lazarus) 그룹이 배후로 분석되는데, 세계 보안업계에서는 금전적 목적을 위한 공격으로 보고 있습니다.
◇스마트폰, 스마트워치까지 노리는 랜섬웨어
현재는 랜섬웨어가 주로 PC를 공격하고 있지만 앞으로는 모바일 기기나 사물인터넷(IoT) 기기로도 공격이 확대될 전망입니다. 실제로 2014년 안드로이드 스마트폰을 겨냥한 모바일 랜섬웨어 심플로커(Simplelocker)가 발견됐습니다. 러시아 등 동유럽에서 발견된 심플로커는 안드로이드 모바일 기기에 앱을 설치하도록 유도해 모바일 기기의 파일을 암호화하는 악성 앱입니다. 스마트워치는 랜섬웨어의 다음 목표물로 점쳐지고 있습니다. 시만텍은 모의 테스트를 통해 일반 안드로이드 랜섬웨어가 안드로이드 폰을 감염시키고 폰과 연동된 스마트워치까지 감염시킬 수 있다는 것을 확인했습니다.
랜섬웨어에 감염되면 돈을 지불한다고 해도 데이터를 온전히 돌려받을 수 있을지 보장할 수 없기 때문에 평소에 대비하는 것이 중요합니다. ▲보안 소프트웨어를 사용하고 항상 최신 상태로 유지할 것 ▲운영체제(OS) 및 소프트웨어를 항상 최신 상태로 업데이트할 것 ▲수상한 이메일, 특히 의심스러운 링크나 첨부 파일을 포함하고 있는 이메일은 절대로 열지 말 것 ▲중요한 데이터는 주기적으로 백업할 것 등 기본적 보안 수칙을 철저히 지켜야 합니다.