나날이 진화하는 랜섬웨어, 우리의 대처법은?

강일용 zero@itdonga.com

[IT동아 강일용 기자] 랜섬웨어 워너크라이(WannaCry)가 유럽, 러시아, 중국 등을 강타한지 2주가 흘렀다. 천만 다행으로 국내에선 별다른 피해 없이 넘어갈 수 있었다. 하지만 해커와 랜섬웨어는 언제나 우리의 주머니를 노리고 소중한 파일을 암호화하기 위해 호시탐탐 기회를 엿보고 있다. 나날이 진화하는 랜섬웨어에 어떻게 대처해야 하는지 자세히 알아보자.

랜섬웨어는 몸값(랜섬)과 악성코드(멀웨어)의 합성어로, PC나 스마트폰 속 특정 파일을 암호화한 후 해당 파일을 이용하고 싶으면 비용을 지불하라는 형태의 악성코드다. 최근 크게 유행하고 있지만, 사실 1989년부터 유포되기 시작한 유서깊은(?) 악성코드다.

최초의 랜섬웨어가 무엇인지에 대해서는 이견이 조금 있지만, 대부분 진화생물학자 조셉 포프 박사(Dr. Joseph Popp)가 개발한 'AIDS.trojan'이 최초의 랜섬웨어라고 보고 있다. AIDS.trojan은 도스의 모든 파일명을 암호화해 시스템을 사용할 수 없게 만든 후 189달러를 지불하면 복호화키를 제공하겠다는 메시지를 띄웠다. 현재의 랜섬웨어와 완벽하게 동일하니 감히 랜섬웨어의 시초라 부르기에 부족함이 없다. AIDS.trojan의 이름에 후천성면역결핍증후군(AIDS)이 들어가 있는 이유가 걸작인데, 포프 박사가 복호화를 위해 받은 비용을 AIDS 연구에 기부하겠다고 밝혀서다. 물론 제 아무리 동기가 좋아도 수단이 불법이서는 곤란하다. 포프 박사는 협박 혐의로 철창신세를 지게 됐다.

작년은 랜섬웨어의 해라고 해도 과언이 아닐 정도로 랜섬웨어가 기승을 부렸다. 랜섬웨어로 입은 피해를 복구하기 위해 해외에선 10억 달러(약 1조 1,000억 원), 국내에선 100억 원 정도의 돈이 해커들에게 흘러들어간 것으로 조사되었다. 문제는 올해도 이렇게 랜섬웨어가 기승을 부릴 것이란 점이다. 대체 왜 랜섬웨어는 이렇게 나날이 증가하는 것일까? 이유는 크게 세 가지다.

랜섬웨어
랜섬웨어

처음부터 돈을 노리고 만든 악성코드

랜섬웨어가 기승을 부리는 가장 큰 이유는 '돈'이다. 랜섬웨어를 이용해 해커가 부당한 이익을 취할 수 있기 때문이다.

'바이러스'나 '웜' 같이 과거에 유행한 악성코드는 해커가 자신의 실력을 과시하고 싶어서 또는 단순히 재미삼아 만든 것이 대부분이다. 돈과는 큰 관계가 없었다.

반면 랜섬웨어는 처음부터 사용자와 기업의 돈을 노리고 만든 악성코드다. 최초의 랜섬웨어인 AIDS.trojan부터 사용자와 기업의 돈을 노리고 만들어졌다. PC나 스마트폰의 기능은 살려두고, 파일만 인질로 잡아서 사용자와 기업에게 당당하게 돈을 요구한다. 업무에 관련된 중요한 파일이 인질로 잡혔으니 사용자와 기업은 눈물을 머금고 해커에게 돈을 지불할 수 밖에 없다.

이러한 구조 때문에 해커는 랜섬웨어를 배포하고 얼마 지나지 않아 사용자와 기업의 돈을 뜯어올 수 있다. 쉽게 돈을 벌 수 있다는 것에 취한 해커는 다시 다른 랜섬웨어를 제작해서 배포한다. 때문에 시중의 랜섬웨어는 더욱 늘어나고 그만큼 피해자도 늘어난다. 해커는 늘어난 피해자만큼 더 많은 부당 이익을 취할 수 있다. 이러한 악순환이 계속 반복되면서 랜섬웨어 암시장 규모가 나날이 확대되고 있다.

'대신 만들어주기' 탓에 암시장 규모가 쑥쑥

랜섬웨어가 폭증하는 두 번째 이유는 '서비스형 랜섬웨어(Ransomware as a Service)'다. 서비스형 랜섬웨어라고 거창한 이름을 붙였지만, 그 본질은 '랜섬웨어 대신 만들어주기'에 불과하다.

과거 악성코드는 악성코드 개발자가 배포자를 겸했다. 악성코드를 배포해서 부당 이익을 취하고 싶으면 자신이 직접 해당 악성코드를 개발해야 했다. 프로그래밍 관련 고급 지식이 없으면 뛰어들 수 없는 나름 진입 장벽이 높은 시장이었던 셈이다.

하지만 랜섬웨어는 프로그래밍 지식이 없어도 뛰어들 수 있다. 진입 장벽이 매우 낮다. 암시장의 규모가 커지면서 랜섬웨어 개발과 배포(생산과 공급)가 분리되는 어이없는 지경에 이르렀기 때문이다.

랜섬웨어는 이제 배포자가 직접 개발하지 않아도 된다. 랜섬웨어만 전문적으로 개발하는 해커에게 의뢰를 해서 랜섬웨어를 공급받은 후, 해당 랜섬웨어를 배포해서 부당 이익을 얻는 형태가 각광받고 있다.

랜섬웨어 공급은 크게 두 가지 형태로 이뤄진다. 하나는 아예 완성된 랜섬웨어를 공급받는 것이다. 배포 방식(홈페이지의 보안 취약점을 이용할 것인지, 이메일 첨부 파일을 이용할 것인지 등), 인질로 잡을 파일의 종류(문서를 노릴 것인지, 이미지를 노릴 것인지 등), 복호화키 등을 지정해서 의뢰하면 이에 맞춰 완성된 랜섬웨어가 나온다. 비용 면에서 조금 더 비싸지만, 프로그래밍 관련 지식이 하나도 없어도 바로 랜섬웨어를 배포할 수 있다. 이렇게 얻은 부당한 수익을 랜섬웨어를 제작하는 해커가 4, 랜섬웨어를 배포하는 해커가 6 정도의 비율로 나눠가지는 것으로 알려져 있다.

다른 하나는 랜섬웨어를 만들 수 있는 도구를 공급받는 것이다. 이 경우 랜섬웨어 제작을 위해 약간의 프로그래밍 지식이 필요하지만, 대신 배포자가 원하는 형태의 랜섬웨어를 빠르게 만들 수 있고 가격이 저렴하다고 한다.

생산과 공급이 분리되면서 효율성이 증대되었고 그 탓에 시중에 유통되는 랜섬웨어의 수도 점점 늘어나고 있다. 불과 6개월만에 랜섬웨어의 수가 11배 증가한데에는 이러한 뒷 사정이 존재한다.

범인 추적이 어렵다

사실 이익을 얻기 위해 악성코드를 만드는 경우가 랜섬웨어 이전에 없었던 것은 아니다. '파밍(악성코드를 활용해 DNS 등을 변조한 후 사용자를 가짜 금융 홈페이지로 유도해 금융정보를 탈취하는 수법)' 등이 부당한 이익을 얻기 위한 악성코드의 대표적인 사례다.

파밍은 랜섬웨어보다 범인 추적 및 검거가 쉬워 현재는 많이 사그라진 상태다. 통장이나 ATM기 앞 CCTV 등의 단서를 통해 범인을 추적해서 검거한 사례가 많다('대포 통장'을 매우 강력히 단속한 이유이기도 하다. 대포 통장을 이용하면 파밍을 추적하기 힘들어지기 때문).

하지만 랜섬웨어는 범인 추적이 쉽다는 파밍의 단점(?)마저 극복했다. 유통망 추적이 매우 어려운 가상화폐 '비트코인'을 이용하기 때문이다.

랜섬웨어에 걸리면 예외없이 비트코인으로 몸값을 내라는 안내 메시지가 나온다. 국가에 의해 철저하게 유통망이 관리 감독되는 일반 화폐와 달리 비트코인은 화폐가 어떻게 유통되는지 추적하기 매우 힘들다. 관리 감독의 주체가 없고, 거래 기록이 거의 남지 않기 때문이다. (물론 추적이 아예 불가능한 것은 아니다. IP 주소 등의 흔적이 남으며, 달러 등 실제 화폐로 교환할 경우 바로 추적할 수 있다. 이를 활용해 전 세계 각국이 범인을 검거하기 위해 노력하고 있다.)

비트코인은 현재 랜섬웨어 비용 지불, 마약, 무기 등 불법 거래에 널리 이용되고 있다. 2016년 비트코인의 전체 가치가 170억 달러 정도로 추정되는데, 이 가운데 10억 달러가 랜섬웨어를 만든 해커에게 돈을 지불하기 위해 거래되었다. 민주적인 화폐를 만들겠다는 비트코인의 처음 이상은 퇴색되고, 불법 거래용으로 각광받는 점이 참으로 안타깝다.

이러한 이유 때문에 파밍 관련 악성코드를 개발하던 해커들이 랜섬웨어로 눈을 돌리고 있는 것이 현실이다.

사용자의 파일을 암호화하고 돈을 요구하는 WannaCry
랜섬웨어(출처=시만텍)
사용자의 파일을 암호화하고 돈을 요구하는 WannaCry 랜섬웨어(출처=시만텍)
<워너크라이 랜섬웨어>

랜섬웨어의 세 가지 침투 방식

랜섬웨어가 돈이 된다는 사실이 알려지면서 랜섬웨어의 침투 방식도 나날이 정교해지고 있다. 우리의 PC와 스마트폰을 감염시키기 위한 랜섬웨어의 침투 방식은 크게 세 가지 단계로 구분할 수 있다.

첫 번째는 '설치를 유도하는 것'이다. 이메일이나 홈페이지를 통해 랜섬웨어가 섞여 있는 특정 파일을 내려받거나 설치하도록 유도하는 방식이다. 액티브X를 설치하게 유도하는 방식도 포함된다. 가장 기초적인 랜섬웨어 배포 방법으로, 바이러스 백신이 탐지하기 쉽고 사용자가 조금만 주의를 기울여도 피해를 예방할 수 있다.

두 번째는 '프로그램의 취약점을 노리는 것'이다. 어도비 플래시, 웹 브라우저, 문서 파일 등의 보안 취약점을 이용해서 랜섬웨어가 사용자의 PC에 침투하는 방식이다. 이를 '드라이브 바이 다운로드(Drive by Download)'라고 부른다. 감염된 파일을 내려받지 않아도 랜섬웨어가 PC에 침투할 수 있다. 보안취약점이 존재하는 프로그램을 사용하기만 해도 랜섬웨어가 침투할 수 있는 만큼 많은 피해를 유발할 수 있어서 경계해야 한다. 뽐뿌, 클리앙 등 인터넷 커뮤니티 사이트를 통해 랜섬웨어가 배포되었던 사건도 해커와 랜섬웨어가 어도비 플래시의 보안취약점을 노린 것이었다.

세 번째는 '운영체제의 취약점을 노리는 것'이다. 윈도우, 안드로이드 등 운영체제가 가지고 있는 보안 취약점을 이용해서 랜섬웨어가 사용자의 PC에 침투하는 방식이다. 프로그램의 취약점을 노리는 방식은 그래도 감염된 홈페이지에 접근하는 등 특정 행동을 해야 랜섬웨어에 감염되지만, 운영체제의 취약점을 노리는 방식은 단지 PC나 스마트폰을 켜서 인터넷에 연결하기만 해도 감염될 우려가 있다. 매우 희귀한 침투방법이지만, 매우 큰 피해를 유발할 수 있어 더욱 경계해야 한다. 이번에 큰 피해를 유발한 워너크라이가 바로 운영체제의 취약점을 노린 랜섬웨어의 대표적인 사례다.

랜섬웨어의 침투방법이라고 설명했지만, 사실 이는 악성코드의 세 가지 침투방식이기도 하다. 랜섬웨어의 숫자는 '설치를 유도하는 것 > 프로그램의 취약점을 노리는 것 > 운영체제의 취약점을 노리는 것' 순이지만, 피해 규모는 '운영체제의 취약점을 노리는 것 > 프로그램의 취약점을 노리는 것 > 설치를 유도하는 것' 순이다.

랜섬웨어로 인한 피해를 방지하는 방법

랜섬웨어로 인한 피해를 방지하기 위해 사용자와 기업은 다음과 같은 대처법을 반드시 숙지해야 한다.

1. 운영체제 및 웹 브라우저를 항상 최신 버전으로 유지한다. 특히 보안 관련 업데이트는 반드시 받아야 한다. 구 버전 운영체제와 웹 브라우저는 보안 취약점이 존재할 가능성이 높다. 최신 버전의 보안 업데이트를 설치해야 이러한 취약점을 제거할 수 있다.

KISA에 따르면 워너크라이의 국내 감염 사례는 윈도우7과 윈도우XP에 치중되어 있었고, 윈도우10이 감염된 사례는 단 한 건도 보고되지 않았다. 이는 윈도우7과 윈도우XP 사용자들이 마이크로소프트가 지난 3월에 제공한 SMB포트 보안 취약점 패치를 설치하지 않은 경우가 많았기 때문이다. 반면 윈도우10은 강제 업데이트 시스템 때문에 해당 보안 취약점에 노출된 PC가 거의 없었던 것으로 풀이된다.

2. 지원이 중단된 운영체제와 프로그램 사용응 중단한다. 이는 1번과 연결된 문제다. 지원이 중단된 운영체제와 프로그램은 보안 취약점이 발견되더라도 해당 취약점을 제거하는 패치를 제공하지 않을 가능성이 높다. 워너크라이가 성행하자 MS가 위도우XP의 보안 취약점을 해결하는 패치를 긴급 배포한 바 있지만, 이는 매우 예외적인 사례다.

3. 중요한 파일은 항상 2중 또는 3중으로 백업한다. 백업 장소는 외장하드, NAS, 클라우드 등 어디라도 좋다. 웹 브라우저로 백업하는 습관을 들이기 힘들다면 원드라이브, N드라이브 등이 제공하는 공유 폴더 기능(탐색기에서 바로 파일을 업로드할 수 있는 기능)을 이용하자.

4. 보안이 취약해보이는 홈페이지(=수상한 광고가 덕지덕지 붙은 홈페이지)에는 절대 접속하지 않는다. 특히 각종 영화, 드라마, 만화 등을 무료로 볼 수 있다고 홍보하는 곳은 랜섬웨어의 온상이나 다름없다. 불법 콘텐츠를 공유하는 홈페이지는 불법이라는 특성 탓에 구글 광고 등 검증된 광고 서비스 대신 영세한 광고 서비스 를 붙이는 경우가 많다. 이 때 영세한 광고 서비스를 제공하는 서버를 해커가 감염시키면 해당 광고 서비스는 랜섬웨어를 배포하는 시스템으로 돌변하게 된다.

5. 신뢰할 수 있는 바이러스 백신을 설치한다.

6. 조금이라도 수상한 파일은 내려받지도 말고 실행하지도 말아야 한다.

7. 망분리 PC와 문서중앙화 시스템을 이용한다. 이는 중소기업을 위한 조언이다. 랜섬웨어로 인한 피해는 중소기업이 대기업보다 훨씬 크게 입는다. 개별 파일을 직원의 PC 내부에 저장하는 경우가 많기 때문이다. 때문에 망분리 PC를 도입해 외부 인터넷 접속과 내부 시스템 운영을 별도로 관리해야 한다. 문서중앙화 시스템을 통해 개별 파일을 중앙 서버에서 관리하면 직원의 PC에 랜섬웨어가 침투하더라도 중요한 파일이 유실될 우려를 줄일 수 있다.

KISA 랜섬웨어 예방 보안수칙
KISA 랜섬웨어 예방 보안수칙
<랜섬웨어 예방수칙>

해커에게 돈을 지불하지 않는 대승적 결단이 필요

이렇게 기승을 부리고 있는 랜섬웨어를 진화하려면 어떻게 해야 할까? 당국이 범인을 최대한 빨리 검거하는 것이 가장 좋은 방법이겠지만, 사용자와 기업도 랜섬웨어를 줄일 수 있도록 적극 대처해야 한다.

랜섬웨어를 줄이는 가장 좋은 방법은 돈이라는 악순환의 고리를 끊는 것이다. 해커가 랜섬웨어를 만들고 배포하는 이유는 오직 하나 돈을 벌기 위해서다. 만약 랜섬웨어를 개발하고 배포해도 돈을 벌 수 없다면 어떻게 될까? 그만큼 랜섬웨어에 대한 해커의 관심이 줄어들고, 랜섬웨어의 수도 함께 줄어들 것이다.

때문에 랜섬웨어에 감염되더라도 해커에게 돈을 지불하지 않는 것이 좋다. 돈을 준 만큼 랜섬웨어가 더욱 기승을 부릴 것이기 때문이다. 암호화된 파일이 기업의 핵심 가치를 담은 중요한 문서라면 어쩔 수 없겠지만, 금방 복구할 수 있는 문서라면 해커에게 돈을 주는 것은 금물이다.

마지막으로 당부할 점이 하나 있다. 카스퍼스키의 조사에 따르면 돈을 지불한 5명 가운데 1명은 암호를 해제할 수 있는 복호화 키를 받지 못했다고 한다. 문서도 못쓰게 되고 돈도 돈대로 날리는 셈. 워너크라이의 경우에도 마찬가지였다. 해커가 돈을 지불한 사람이 누군지 파악하는 시스템을 만들지 않아, 실제로 돈을 지불해도 복호화 키를 받을 수 없었다. 이처럼 해커에게 돈을 지불해도 복호화 키를 받지 못하게 되는 경우는 점점 늘어날 전망이다. 이유가 걸작인데, 랜섬웨어 개발과 유통이 분리된 탓에 프로그래밍 지식이 없는 랜섬웨어 배포자는 복호화 키 제공이라는 사후지원(?)을 제대로 해줄 수 없기 때문이다.

글 / IT동아 강일용(zero@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.