파일 잠근 뒤 ‘돈 내놔!’ 시만텍, 웨어러블까지 노리는 랜섬웨어 경고

강형석 redbk@itdonga.com

[IT동아 강형석 기자]

“애플리케이션이나 이메일, 웹 등을 활용해 여러 PC를 감염시키고 무차별적 공격을 통해 파일을 암호화한 뒤 금전을 요구한다. 높은 암호화로 사실상 돌파가 어렵고, 일부는 파일을 덧씌워 복구업체를 찾아도 파일을 되찾을 확률이 희박하다.”

시만텍은 2015년 8월 19일, 자사 사무실(서울 강남구 소재)에서 미디어 브리핑을 열고 사이버 범죄를 위한 랜섬웨어가 수 년간 진화하며 강력한 악성코드로 부상하고 있는 점에 경고했다. PC, 모바일 기기를 감염시키던 랜섬웨어가 이제 우리의 생활 깊이 침투할 수 있다는 점이 핵심이다.

랜섬웨어(Ransomware)는 사용자의 컴퓨터를 잠그거나 파일을 암호화한 다음, 이를 해제하기 위한 조건으로 금전적인 부분을 요구하는 악성코드다. 1989년, 디스크에 암호를 걸어 금전을 요구하던 것이 시초로 알려져 있지만 현대판 랜섬웨어는 2005년 GPcoder 트로이목마가 등장한 때라고 보고 있다.

랜섬웨어에 공격받은 상위 국가들
랜섬웨어에 공격받은 상위 국가들

< 랜섬웨어의 공격을 많이 받은 상위 12개 국가. >

악성코드에 의한 공격은 GDP가 높거나 인구가 많은 국가를 중심으로 전 세계적인 확산 추세다. 시만텍 조사에 따르면, 랜섬웨어 공격을 많이 받은 국가는 미국으로 나타났다. 이어 일본, 영국, 이탈리아, 독일, 러시아 순으로 많은 공격이 이뤄졌다. 상위 12개 국가 중 11개 국가가 직간접적인 G20 회원국이다.

한국은 아직 랜섬웨어 공격 상위 국가에 포함되지 않은 상태. 하지만 올 상반기, 한국어를 사용한 크립토 랜섬웨어가 발견되는 등 주의가 요구된다. 감염사례는 지난해에 보고되었고 몇 대인지 구체적으로 파악하기 어렵지만 외부 업계와 함께 돈의 흐름을 추적하니 비트코인 기준으로 3일간 약 2,600만 원 가량이 이동한 것으로 파악했다고 한다.

뿐만 아니라, 최근 동양권 국가에서도 공격을 감행하는 사례가 점차 증가하는 추세라고. 과거에는 영문으로 표시되던 악성코드도 이제 해당 국가 운영체제 언어를 인식, 현지화가 되는 지능적인 모습까지 보여주고 있다는게 시만텍 측의 설명이다.

시만텍코리아 윤광택 상무
시만텍코리아 윤광택 상무

윤광택 시만텍코리아 제품기술본부 상무는 “위장 애플리케이션 형태로 시작하던 랜섬웨어는 사기성 안티바이러스로 진화했고 이어 PC를 잠그는 락커(Locker)와 크립토(Crypto) 랜섬웨어 형태로 진화하고 있다. 모바일까지 손을 뻗은 랜섬웨어는 웨어러블이나 IoT 등으로 이어질 것”이라고 설명했다.

PC나 파일을 잠그고 비용을 요구하는 것은 대개 50~300달러 사이라고 한다. 국내에서는 50만 원 가량을 요구하는 경우가 많은데, 이는 국가 소득과 연관이 있다. 무조건 정해진 비용을 요구하는 것이 아닌 국가 소득에 따른 비용 책정이 이뤄진다는 것이다. 잘 버는 국가는 많은 비용을, 그렇지 않은 국가는 적은 비용으로 피해자의 결제를 유도하게 된다.

랜섬웨어는 단순히 PC를 잠그는 락커 방식이 36%, 그 외 나머지는 파일을 하나하나 암호화하는 크립토 방식이다. 이 외에도 새로운 랜섬웨어가 등장하고 있으며, 최근 250% 가량 공격 빈도가 증가해 외부 범죄세력의 적극적인 공격이 이뤄지는 추세다.

락커 방식의 암호화는 비교적 쉽게 돌파할 수 있는 것으로 알려졌다. 또한 복구할 수 없어도 하드디스크 복사나 기타 방법으로 데이터를 복구할 가능성이 높다. 반면, 크립토 방식의 파일 암호화는 PC 자체가 아닌 피해자의 생활에 밀접한 사진이나 영상 등을 인질로 삼아 금전요구를 하는 방식이다. 복구를 하려 해도 2,048비트 암호화로 사실상 돌파가 어렵다고 한다. 최근에는 해당 파일을 덧씌우는 방식도 더해 복구 업체를 찾아도 파일을 되살릴 수 없도록 만든다.

이런 랜섬웨어는 모바일과 그 파생기기에까지 영향을 줄 것으로 보인다. 과거 공격 대상은 데스크탑 컴퓨터가 주를 이뤘다면, 요즘 그 수가 줄면서 모바일로 이동하고 있다. 특히 사용자가 많은 안드로이드 운영체제 기반 스마트 기기들이 공격 대상이다. 이들은 설치파일(APK)을 쉽게 다룰 수 있어 랜섬웨어의 표적이 될 수 있다.

안드로이드 웨어에 악성코드가 설치되는
과정
안드로이드 웨어에 악성코드가 설치되는 과정

시만텍은 스마트 시계나 다른 안드로이드 기반 제품들 모두 랜섬웨어의 표적이 될 수 있다고 경고한다. 시연 영상에서는 안드로이드 스마트폰과 스마트 시계가 악성코드에 감염되는 사례가 나왔는데, 감염된 스마트폰의 화면을 스마트 시계에서도 동일하게 나와 기기가 애플리케이션이 작동하지 않았다.

아직은 감염된 상태에서 공장 초기화를 통해 복구 가능한 수준이지만 빠르게 진화하는 랜섬웨어의 특성으로 스마트 시계나 기타 장치들이 어떻게 공격당할지는 미지수라는게 시만텍의 설명이다.

반면, 애플 iOS 기반의 아이폰이나 아이패드는 탈옥을 하지 않는 이상 공격이 쉽지 않은 것으로 알려져 있다. 결제 카드 등록이나 기타 여러 방법으로 실제 사용자 인증을 거치고, 앱스토어는 애플이 직접 앱들을 관리하는 폐쇄적인 환경이기 때문에 가능하다는 것. 그러나 개인 정보를 철저히 관리해 피해를 보지 않도록 하는 것이 중요하다고.

안드로이드 웨어의 감염에 대해 설명하는 윤광택
상무
안드로이드 웨어의 감염에 대해 설명하는 윤광택 상무

이에 시만텍은 컴퓨터나 모바일, 웨어러블 기기 등을 노리는 랜섬웨어나 기타 악성코드의 침입을 막기 위한 보안 수칙을 제시했다.

먼저, 출처가 불명확하거나 신뢰할 수 없는 소스가 제공하는 앱을 설치하지 않는게 좋다. 앱을 설치할 때 요구하는 권한이 해당 앱 유형에 맞는지 확인하고, 게임 앱은 연락처에 접근하거나 문자(SMS)를 전송할 필요가 있는지 검토할 필요가 있다. 자사의 보안 소프트웨어인 노턴 모바일 시큐리티나 기타 모바일 보안 솔루션을 사용하고, 소프트웨어를 항상 최신 상태로 유지하는 것 또한 중요하다.

파일을 다양한 방법으로 저장(백업)해 두는 것도 좋은 방법이다. 최근 외장 하드디스크나 메모리 카드 등 저장매체의 가격이 상대적으로 저렴하다. 때문에 악성코드에 의해 잃는 비용보다 상대적으로 낮은 유지보수가 가능해졌다. 이메일, 웹, 엔드포인트 등을 포괄하는 다계층적 보안 대응 방안을 수립하고, 랜섬웨어 공격자의 요구에 응하지 않는 방법도 있다.

글 / IT동아 강형석 (redbk@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.