랜섬웨어가 활개치는 3가지 이유
[IT동아 강일용 기자] 2016년 한 해 악성코드(멀웨어)의 흐름은 '랜섬웨어'로 요약할 수 있다. 랜섬웨어는 몸값(랜섬)과 악성코드(멀웨어)의 합성어로, PC나 스마트폰 속 특정 파일을 암호화한 후 해당 파일을 이용하고 싶으면 비용을 지불하라는 형태의 악성코드다.
2016년은 그 어느 때보다 랜섬웨어가 기승을 부렸고, 이에 따른 피해도 급격히 늘어난 한 해였다. 보안전문기업 카스퍼스키가 집계한 바에 따르면 올해 1분기 2,900개 내외였던 랜섬웨어는 3분기 약 3만 2,000개로 11배 증가했다. 그 탓에 1분기에는 20초마다 1명이 랜섬웨어의 피해를 입었지만 3분기에는 10초마다 1명이 랜섬웨어의 피해를 입게되었다. 기업도 1분기에는 2분에 1번씩 랜섬웨어의 공격을 받았지만, 3분기에는 40초에 1번씩 랜섬웨어의 공격을 받았다.
문제는 이렇게 기승을 부리는 랜섬웨어가 내년에도 늘어나면 늘어났지 절대 줄어들지는 않을 것이란 점이다. 대체 왜 이렇게 랜섬웨어가 창궐하는 것일까? 랜섬웨어가 창궐하는 이유 3가지와 랜섬웨어를 줄이기 위해 사용자와 기업이 어떻게 대처해야 하는지 자세히 알아보자.
처음부터 돈을 노리고 만든 악성코드
랜섬웨어가 기승을 부리는 가장 큰 이유는 '돈'이다. 랜섬웨어를 이용해 해커가 부당한 이익을 취할 수 있기 때문이다.
'바이러스'나 '웜' 같이 과거에 유행한 악성코드는 해커가 자신의 실력을 과시하고 싶어서 또는 단순히 재미삼아 만든 것이 대부분이다. 돈과는 큰 관계가 없었다.
반면 랜섬웨어는 처음부터 사용자와 기업의 돈을 노리고 만든 악성코드다. PC나 스마트폰의 기능은 살려두고, 파일만 인질로 잡아서 사용자와 기업에게 당당하게 돈을 요구한다. 업무에 관련된 중요한 파일이 인질로 잡혔으니 사용자와 기업은 눈물을 머금고 해커에게 돈을 지불할 수 밖에 없다.
이러한 구조 때문에 해커는 랜섬웨어를 배포하고 얼마 지나지 않아 사용자와 기업의 돈을 뜯어올 수 있다. 쉽게 돈을 벌 수 있다는 것에 취한 해커는 다시 다른 랜섬웨어를 제작해서 배포한다. 때문에 시중의 랜섬웨어는 더욱 늘어나고 그만큼 피해자도 늘어난다. 해커는 늘어난 피해자만큼 더 많은 부당 이익을 취할 수 있다. 이러한 악순환이 계속 반복되면서 랜섬웨어 암시장 규모가 나날이 확대되고 있다.
'대신 만들어주기' 탓에 암시장 규모가 쑥쑥
랜섬웨어가 폭증하는 두 번째 이유는 '서비스형 랜섬웨어(Ransomware as a Service)'다. 서비스형 랜섬웨어라고 거창한 이름을 붙였지만, 그 본질은 '랜섬웨어 대신 만들어주기'에 불과하다.
과거 악성코드는 악성코드 개발자가 배포자를 겸했다. 악성코드를 배포해서 부당 이익을 취하고 싶으면 자신이 직접 해당 악성코드를 개발해야 했다. 프로그래밍 관련 고급 지식이 없으면 뛰어들 수 없는 나름 진입 장벽이 높은 시장이었던 셈이다.
하지만 랜섬웨어는 프로그래밍 지식이 없어도 뛰어들 수 있다. 진입 장벽이 매우 낮다. 암시장의 규모가 커지면서 랜섬웨어 개발과 배포(생산과 공급)가 분리되는 어이없는 지경에 이르렀기 때문이다.
랜섬웨어는 이제 배포자가 직접 개발하지 않아도 된다. 랜섬웨어만 전문적으로 개발하는 해커에게 의뢰를 해서 랜섬웨어를 공급받은 후, 해당 랜섬웨어를 배포해서 부당 이익을 얻는 형태가 각광받고 있다.
랜섬웨어 공급은 크게 두 가지 형태로 이뤄진다. 하나는 아예 완성된 랜섬웨어를 공급받는 것이다. 배포 방식(홈페이지의 보안 취약점을 이용할 것인지, 이메일 첨부 파일을 이용할 것인지 등), 인질로 잡을 파일의 종류(문서를 노릴 것인지, 이미지를 노릴 것인지 등), 복호화키 등을 지정해서 의뢰하면 이에 맞춰 완성된 랜섬웨어가 나온다. 비용 면에서 조금 더 비싸지만, 프로그래밍 관련 지식이 하나도 없어도 바로 랜섬웨어를 배포할 수 있다.
다른 하나는 랜섬웨어를 만들 수 있는 도구를 공급받는 것이다. 이 경우 랜섬웨어 제작을 위해 약간의 프로그래밍 지식이 필요하지만, 대신 배포자가 원하는 형태의 랜섬웨어를 빠르게 만들 수 있고 가격이 저렴하다고 한다.
생산과 공급이 분리되면서 효율성이 증대되었고 그 탓에 시중에 유통되는 랜섬웨어의 수도 점점 늘어나고 있다. 불과 6개월만에 랜섬웨어의 수가 11배 증가한데에는 이러한 뒷 사정이 존재한다.
범인 추적이 어렵다
사실 이익을 얻기 위해 악성코드를 만드는 경우가 랜섬웨어 이전에 없었던 것은 아니다. '파밍(악성코드를 활용해 DNS 등을 변조한 후 사용자를 가짜 금융 홈페이지로 유도해 금융정보를 탈취하는 수법)' 등이 부당한 이익을 얻기 위한 악성코드의 대표적인 사례다.
하지만 파밍은 랜섬웨어보다 범인 추적 및 검거가 쉬워 현재는 많이 사그라진 상태다. 통장이나 ATM기 앞 CCTV 등의 단서를 통해 범인을 추적해서 검거한 사례가 많다('대포 통장'을 매우 강력히 단속한 이유이기도 하다. 대포 통장을 이용하면 파밍을 추적하기 힘들어지기 때문).
하지만 랜섬웨어는 범인 추적이 쉽다는 파밍의 단점(?)마저 극복했다. 유통망 추적이 매우 어려운 가상화폐 '비트코인'을 이용하기 때문이다.
랜섬웨어에 걸리면 예외없이 비트코인으로 몸값을 내라는 안내 메시지가 나온다. 국가에 의해 철저하게 유통망이 관리 감독되는 일반 화폐와 달리 비트코인은 화폐가 어떻게 유통되는지 추적하기 매우 힘들다. 관리 감독의 주체가 없고, 거래 기록이 거의 남지 않기 때문이다. (물론 추적이 아예 불가능한 것은 아니다. IP 주소 등의 흔적이 남으며, 이를 활용해 전 세계 각국이 범인을 검거하고자 끈질기게 추적하고 있다.)
비트코인은 랜섬웨어 비용 지불, 마약, 무기 등 불법 거래에 널리 이용되고 있다. 민주적인 화폐를 만들겠다는 비트코인의 처음 이상은 퇴색되고, 불법 거래용으로 각광받는 점이 참으로 안타깝다.
이러한 이유 때문에 파밍 관련 악성코드를 개발하던 해커들이 랜섬웨어로 눈을 돌리고 있는 것이 현실이다.
해커에게 돈을 지불하지 않는 대승적 결단이 필요
앞에서 설명한 3가지 이유 탓에 기승을 부리고 있는 랜섬웨어를 진화하려면 어떻게 해야 할까? 당국이 범인을 최대한 빨리 검거하는 것이 가장 좋은 방법이겠지만, 사용자와 기업도 랜섬웨어를 줄일 수 있도록 적극 대처해야 한다.
랜섬웨어를 줄이는 가장 좋은 방법은 돈이라는 악순환의 고리를 끊는 것이다. 해커가 랜섬웨어를 만들고 배포하는 이유는 오직 하나 돈을 벌기 위해서다. 만약 랜섬웨어를 개발하고 배포해도 돈을 벌 수 없다면 어떻게 될까? 그만큼 랜섬웨어에 대한 해커의 관심이 줄어들고, 랜섬웨어의 수도 함께 줄어들 것이다.
랜섬웨어에 감염되지 않으면 해커에게 돈을 줄 일도 없다. 예방이 최선이다. 랜섬웨어에 대처하기 위해 다음 5가지 수칙을 반드시 이행하자.
1. 중요한 파일은 항상 2중 또는 3중으로 백업한다(백업 장소는 외장하드, NAS, 클라우드 등 어디라도 좋다).
2. 보안이 취약해보이는 홈페이지(=수상한 광고가 덕지덕지 붙은 홈페이지)에는 절대 접속하지 않는다. 특히 각종 영화, 드라마, 만화 등을
무료로 볼 수 있다고 홍보하는 곳은 랜섬웨어의 온상이나 다름없다.
3. 운영체제 및 웹 브라우저를 항상 최신 버전으로 유지한다. 특히 보안 관련 업데이트는 반드시 받아야 한다.
4. 신뢰할 수 있는 바이러스 백신을 설치한다.
5. 조금이라도 수상한 파일은 내려받지도 말고 실행하지도 말아야 한다.
만약 랜섬웨어에 감염되더라도 해커에게 돈을 지불하지 않는 것이 좋다. 돈을 준 만큼 랜섬웨어가 더욱 기승을 부릴 것이기 때문이다. 암호화된 파일이 기업의 핵심 가치를 담은 중요한 문서라면 어쩔 수 없겠지만, 금방 복구할 수 있는 문서라면 해커에게 돈을 주는 것은 금물이다.
마지막으로 당부할 점이 하나 있다. 카스퍼스키의 조사에 따르면 돈을 지불한 5명 가운데 1명은 암호를 해제할 수 있는 복호화 키를 받지 못했다고 한다. 문서도 못쓰게 되고 돈도 돈대로 날리는 셈. 이처럼 해커에게 돈을 지불해도 복호화 키를 받지 못하게 되는 경우는 점점 늘어날 전망이다. 이유가 걸작인데, 랜섬웨어 개발과 유통이 분리된 탓에 프로그래밍 지식이 없는 랜섬웨어 배포자는 복호화 키 제공이라는 사후지원(?)을 제대로 해줄 수 없기 때문이다.
글 / IT동아 강일용(zero@itdonga.com)