랜섬웨어, 부르는 몸값 더 높아졌다

[IT동아 이상우 기자] 시만텍이 랜섬웨어 최신 보안 위협 동향을 담은 렌섬웨어 특별 보고서 2016을 발표했다. 이 보고서에 따르면 랜섬웨어는 점차 정교환 공격 방식을 통해 기업화 되고, 불특정 다수를 노린 무차별 공격에서 특정 기업을 겨냥한 표적공격으로 변화하는 추세다.

시만텍은 인터넷 보안 위협 데이터 수집 체계인 시만텍 글로벌 인텔리전스 네트워크를 통해 랜섬웨어 동향을 분석했다. 그 결과 랜섬웨어 기록 갱신 행진, 랜섬웨어 평균 요구 몸값 상승, 기업 겨냥한 표적 공격의 시작, APT 등 지능형 공격 기법 및 신규 위협 등장, 랜섬웨어의 수익 모델 확립 등이 주요 특징으로 나타났다.

지난 2015년 한해 약 100개의 신규 랜섬웨어 패밀리(동일한 범주의 변종 악성코드 버전)가 발견됐으며, 이는 지난 2014년과 비교해 약 30% 증가한 수준이다. 특히 파일을 암호화하는 크립토 랜섬웨어가 지속적으로 확산되고 있다. 올해 발견 된 랜섬웨어 중 1개를 제외하고 나머지는 전부 크립토 랜섬웨어로 밝혀졌다. 이는 공격자에게 가장 효과적인 방식으로 자리잡고 있음을 보여준다. 국가별 감염 현황을 보면 전체 감염 건수에서 31%를 차지한 미국이 가장 높았고, 이어서 이탈리아 8%, 일본 8% 등이 뒤를 이었다. 한국은 28위로 랜섬웨어 감염국 상위 30개에 포함됐다.

복호화(암호화 해제)를 위해 요구하는 비용 역시 증가하고 있다. 2014년 요구 비용은 평균 372달러 정도였다가 2015년에는 294달러로 낮아지는 추세였지만, 올해는 679달러로 크게 높아졌다. 올해 1월에 발견된 특정 랜섬웨어의 경우 PC 한대당 5,083달러를 요구하면서 최대 몸값을 기록하기도 했다. 특징적인 부분은 과거에는 피해자가 대가를 지불해도 복호화 키를 주지 않는 경우가 많다는 인식 때문에 대가를 지불하기 꺼려했지만, 최근 동향은 복호화키를 주는 경우가 많아져서 랜섬웨어를 통한 수익 역시 상대적으로 커졌다.

시만텍 윤광택 CTO는 "공격자에게 돈을 지불하지 않는 것이 이러한 유형의 범죄를 줄이는 방법이지만, 피해자 입장에서는 일정 비용으로 추억이 담긴 사진이나 동영상을 복구할 수 있는 입장인 만큼 랜섬웨어의 수익성이 높아지고 있다"고 설명했다.

실제로 최근 랜섬웨어는 '몸값'으로 쓰이는 비트코인을 구매하는 방법부터 돈을 지불하는 방법까지 자세히 설명하고 있으며, 다양한 언어를 지원하거나 FAQ 등의 페이지를 만들어 운영할 정도다. 이러한 랜섬웨어의 성장 요인은 암호화 기술을 적용하기가 워낙 쉬워졌으며, 소스코드도 공개돼 마음만 먹으면 랜섬웨어를 쉽게 제작할 수 있기 때문이다. 게다가 아직까지 많은 사용자가 웹에서 파일을 내려받거나 이메일 첨부파일을 열어볼 때 주의하지 않는 경향이 있어, 랜섬웨어를 통한 수익도 꾸준히 증가하고 있다. 악성코드 개발자가 직접 악성코드를 유포하는 방식 외에도 서비스 형태의 랜섬웨어(RaaS, Ransomware as a Service)로 제공하면서 유포자를 구해 수익을 나누는 방식까지 등장했다.

과거 랜섬웨어를 통한 공격이 불특정 다수를 상대로 이뤄졌다면, 최근에는 기업을 노리는 표적형 랜섬웨어도 증가하고 있다. 일반 사용자를 대상으로 하는 것보다 더 큰 돈을 벌 수 있기 때문이다. 이번 조사 결과, 기업 사용자가 랜섬웨어 감염의 약 43%를 차지했다. 피해를 입은 산업별 통계를 보면, 서비스업(38%), 제조업(17%), 공공(10%), 금융권 및 부동산(10%) 등이 주로 피해를 입은 것으로 나타났다.

이처럼 기업을 노린 랜섬웨어는 특정 목표를 장기간 노리는 APT(지능형 지속위협)와 유사한 형태로 진화하고 있다. 네트워크에 접근하기 위해 서버의 취약점을 공격하고, 추가 공격을 위해 백업 정책과 같은 정보를 수집하는 등 APT의 공격 방식을 이용하고 있다. 실제로 SamSam이라는 이름의 랜섬웨어는 서버 취약점을 악용해 특정 기업 내부에 랜섬웨어를 전파한 경우도 있다.

랜섬웨어 자체도 모습을 바꾸고 있다. 자바스크립트, PHP, Python, PowrShell 등 스크립트형 언어를 사용해 안티 바이러스 제품의 탐지를 우회하는가 하면, 비트코인 전자 지갑 정보를 탈취하는 사례, 디도스 기능을 수행하는 봇넷 기능 탑재 사례, 암호화뿐만 아니라 개인 데이터를 인터넷에 공개한다고 협박하는 사례도 나타났다.

랜섬웨어 유포 방법은 이메일을 통한 대규모 스팸 발송처럼 전통적인 방법이 여전히 많이 쓰이고 있으며, 이밖에 메일 제목을 송장, 미지급금 통지 등 사용자가 눌러볼 만하게 꾸민 뒤 이메일 첨부파일을 내려받도록 하는 수법 역시 쓰이고 있다. SNS 또는 광고 배너를 통해 악성 코드가 있는 링크로 유도하는 방법이나, 무차별 대입 공격, 서버 취약점 악용 공격, 스미싱 및 사설 앱스토어(안드로이드) 등도 사용하는 추세다

사실 랜섬웨어를 완벽하게 막을 수 있는 방법은 없으며, 당했을 경우 데이터를 보장받을 방법 역시 존재하지 않는다. 우리가 할 수 있는 최선의 방법은 기본적인 보안 수칙을 지키는 것이다. 운영체제 및 소프트웨어릉 항상 최신버전으로 유지하며, 보안 소프트웨어는 가장 최신으로 유지하는 것만으로도 알려진 형태의 랜섬웨어에는 당하지 않는다. URL 및 첨부 파일을 포함한 메일은 항상 의심해야 하며, 특히 첨부 파일이 오피스 문서인 경우 매크로 기능을 활성화할 때 주의해야 한다. 만약 활성화할 때는 반드시 신뢰하는 발신자가 보내는 파일만 활성화하는 것이 좋다. 덧붙여 중요한 파일의 경우 항상 백업해야 한다.

시만텍 박희범 대표는 "랜섬웨어는 악성코드의 하나라고 생각하고 대응하는 것이 좋다. 랜섬웨어를 100% 막을 수 있는 방법은 없으며, 악성코드를 막는 수단을 강화하면 악성코드 중 하나인 랜섬웨어 역시 차단할 가능성이 높아진다"고 설명했다.

글 / IT동아 이상우(lswoo@itdonga.com)