‘사이버 생태계 무적자’ 랜섬웨어의 심상찮은 행보

2017/03/08
공유 레이어 열기/닫기
주소가 복사되었습니다.

삼성전자 뉴스룸이 직접 제작한 기사와 사진은 누구나 자유롭게 사용하실 수 있습니다 스페셜 리포트 ‘사이버 생태계 무적자’ 랜섬웨어의 심상찮은 행보  스페셜 리포트는 풍부한 취재 노하우와 기사작성능력을 겸비한 뉴스룸 전문작가필진이 새롭게 선보이는 기획 콘텐츠 입니다. 최신 업계 동향과 IT 트렌드 분석, 각계 전문자인터뷰등 다채로운 읽을거리로 주 1회 삼성전자 뉴스룸 독자 여러분을 찾아갑니다.

지난 2일 롯데면세점 인터넷 홈페이지가 해킹 공격으로 마비됐다가 3시간여 만에 복구됐다. 롯데면세점에 따르면 이날 오후 1시쯤 롯데면세점 인터넷 홈페이지 4개 언어 버전(한국어·영어·중국어·일본어)이 모두 마비됐다. 중국 해커들의 ‘디도스(DDoS)’ 공격이었다. 지난 6일엔 롯데 홈페이지에 대한 중국 해커들의 ‘디페이스(deface)’ 공격이 시작됐단 보도도 나왔다. 잇따른 사이버 테러의 배경으론 ‘롯데의 사드(THAAD, 고고도 미사일 방어체계) 부지 제공에 따른 중국 해커들의 보복’이란 추정이 제기됐다.

디도스는 ‘분산서비스 거부(Distributed Denial of Service)’의 약자로 해킹의 일종이다. 수십 대에서 많게는 수백만 대의 PC를 원격 조종, 특정 웹사이트에 동시 접속시킴으로써 단시간 내에 과부하를 일으켜 해당 웹사이트를 마비시키는 방식이다. 디페이스란 ‘웹사이트 위·변조(website defacement)’란 영단어를 간단히 줄여 표현한 것. 해킹을 통해 웹페이지의 시각적 외관을 바꾸는 행위를 일컫는다. 실제로 SQL(Structured Query Language, 데이터베이스 하부 언어) 주입, 혹은 ID·패스워드 확보를 통해 시스템 관리 권한을 획득하면 웹페이지 디자인을 엉망으로 파괴하는 건 일도 아니다.

해커 이미지, ‘디도스(DDoS)’ 공격

디도스와 디페이스 둘 다 사이버 범죄 분야에선 비교적 초기부터 종종 이용돼온 수법이다. 따라서 이와 관련된 사전 방어책이나 사후 복구책 노하우는 이미 상당 부분 나와있다. 예를 들어 접속 문턱 설정 등 비교적 간단한 방법으로도 디도스로 인한 대형 피해는 막을 수 있다. 주기적 점검으로 악성 코드 접근을 방지하도록 하는 등 시스템 하드닝(hardening, 외벽 강화)도 악성 공격을 사전 차단하는 데 효과를 발휘한다. 투자 규모를 좀 더 늘리면 접근해오는 콘텐츠를 검색, 수상한 코드는 아예 차단해버리는 CDN[1] 서비스를 이용할 수도 있다.

하지만 문제 발생 가능성은 여전히 남아있다. 활동 규모에 비해 사이버 범죄 예방에 충분히 투자하지 않는 기업이나 조직이 얼마든지 존재할 수 있기 때문이다. 더욱이 사이버 범죄 수법은 날로 교묘해지고 다양해지는데다 그 세(勢)를 점차 넓혀가고 있다.

 

목표는 ‘당신’이 아니라 ‘당신 PC 속 콘텐츠’

날로 심각해지는 사이버 범죄 문제 중에서도 최근 가장 많은 이목을 집중시키는 유형은 단연 ‘랜섬웨어(ransomware)’다. 랜섬웨어란 ‘(납치 혹은 유괴된 사람의) 몸값’을 뜻하는 ‘랜섬’과 ‘소프트웨어’를 합성해 만들어진 신조어. 말 그대로 ‘뭔가를 납치해놓고 그 몸값을 요구하는 데 쓰이는 소프트웨어’다. 단, 이때 납치된 대상은 사람이 아니라 PC에 파일 형태로 담겨있는 콘텐츠다.

예를 들어 당신이 병원을 운영하고 있다고 하자. 환자 정보 관리는 병원 유지의 필수 요건 중 하나일 것이다. 특정 환자의 내원 당시 신체 상황이나 의료 처치 이후 경과 등의 진료 데이터는 물론, △가족력 △이전 진료 기관에서 넘어온 데이터 △관련 의료진의 소견 등 지극히 세부적 부분까지도 없어선 안 될 주요 자료다. 그런데 어느 날 병원이 랜섬웨어 공격을 받아 모든 자료를 다 못 쓰게 돼버린다면? 그 병원은 사활 여부를 걱정해야 할 정도로 큰 타격을 받게 될 것이다.

랜섬웨어 공격자들은 바로 이 대목을 노린다. 이들은 피해자의 PC나 스마트폰, 웨어러블 기기 등에 악성 소프트웨어를 심어 데이터를 쓰지 못하도록 묶어두거나 암호화한 후 해당 기기에 창을 띄워 “데이터를 되찾으려면 주어진 시간 내에 소정의 금액을 보내라”고 통보한다. “기한 내에 입금되지 않으면 데이터(콘텐츠)를 공공연히 발표해버리겠다”는 협박도 불사한다.

 

사이버 테러, 비트코인의 익명성 뒤에 숨다

랜섬웨어의 역사를 따지려면 1989년까지 거슬러 올라가야 한다. 하지만 초창기엔 공격 방법도, 돈을 요구하는 요령도 어설펐다. 공격 받은 데이터는 금세 복구됐고 공격을 시도했던 범죄자의 정체도 쉽게 들통 났다. 최초의 랜섬웨어로 알려진 ‘에이즈 트로이안(Aids Trojan)’의 경우, 암호화 바이러스를 무작위로 퍼뜨린 후 걸려드는 사람에겐 ‘복구 도구(tool)를 제공하는’ 대가로 미화 189달러(약 22만 원)를 요구했다. 랜섬웨어는 온라인 가상 화폐, 즉 비트코인(bitcoin)이 활성화되며 날개를 달았다. 실제로 비트코인이 통용되기 시작한 2009년 이후 랜섬웨어의 활동량은 눈에 띄게 증가했다.

2012년엔 대표적 랜섬웨어 사례로 꼽히는 ‘레비튼(Reveton)’이 유포되기 시작했다. ‘트로이 목마[2]’ 바이러스에 기반한 레비튼에 감염되면 해당 PC 사용자에겐 “불법 행위를 저질렀으므로 경찰 사이버 보안 담당 부서가 당신의 컴퓨터 데이터를 사용하지 못하도록 잠가버렸다”는 경고와 함께 “데이터를 다시 쓰려면 얼마의 벌금을 어떤 방식으로 지불해야 한다”는 안내문이 별도 창으로 뜬다. 이때 ‘불법 행위’란 대개 △주차 위반 △저작권 침해 △음란 동영상 웹사이트 방문 등 누구나 알게 모르게 저지를 수 있는 종류의 행동이다. 종종 “당신도 모르는 사이 누군가가 당신의 ID와 패스워드를 도용했을 수도 있다”는 문구가 안내문에 부연되기도 한다. 이런 상황에서 피해자는 십중팔구 당황해 안내문에 쓰인 돈을 지불한다. 하지만 그런 후에도 문제는 해결되지 않는다. 랜섬웨어 유포자가 특정 기기의 데이터를 복구해준다는 보장이 없기 때문이다.

비트 코인이 놓여진 이미지입니다

이후 ‘아류 레비튼’ 랜섬웨어들이 판을 쳤다. 이들은 하나같이 개인 사용자를 노려 공격을 감행했고, 불특정 다수에게 경고문을 보내 걸려드는 사람에게서 돈을 갈취했다. 이 단계의 랜섬웨어가 이처럼 ‘무작위 공격’ 전략을 쓴 덴 그럴 만한 이유가 있었다. 계획적 사이버 범행을 저지를 경우, 자칫 꼬리가 밟힐 가능성이 컸던 것. (피해자가 돈을 보내오는) 수납처를 오래 사용할 수 없었던 만큼 ‘빨리 치고 빠지는’ 구조 마련은 필수였다.

하지만 이런 전략은 비트코인 사용이 본격화된 2013년부터 전혀 다른 차원으로 도약한다. 초기 수법도 여전히 (점점 정교해지면서) 사용됐지만 한편에선 ‘더 대담한’ 수법으로 ‘더 큰’ 먹잇감을 용의주도하게 노려 ‘더 많은’ 돈을 확실히 받아내는 방향으로 진화하는 랜섬웨어가 등장했다. 이들은 충분한 시간을 두고 대기업이나 (금전 거래가 확실한) 의료기관 따위의 웹사이트를 살핀 후 허점이 발견되면 관리자 모드에 접속, △기기 내부 △중앙처리장치(CPU) △이동식 저장장치 △클라우드 등에 저장된 데이터를 모조리 암호화해버렸다.

 

단일 S/W 연간 수익이 700억 원 이르기도

랜섬웨어의 피해자가 되는 일은 종종 어이없을 정도로 간단하다. 예를 들어 모 의료기관의 수납 업무 담당자가 이런 내용의 이메일을 받았다고 하자. “안녕하십니까? ‘○○○ 커뮤니티 헬스 시스템즈’의 아무개 팀장입니다. 최근 환자들의 온라인 청구서를 붙임과 같이 통합, 전달합니다. 더 궁금하신 점이 있으시면 언제든지 연락 주십시오.” 수신자는 별 의심 없이 첨부 파일을 클릭하고 그 순간, 그의 ID와 패스워드는 랜섬웨어 설치자에게 포착된다. 그와 동시에 의료기관 종사자가 사용하는 파일 일체가 암호화 절차를 거쳐 잠금 처리된다.

해당 데이터를 당장 써야 하는 사용자로선 큰 돈을 지불하고서라도 데이터를 복구하고 싶을 것이다. 랜섬웨어 설치자는 피해자의 이 같은 절박함을 악용, 엄청난 돈을 챙긴다. 지난 2013년 말 등장한 이후 오늘날 사이버범죄 분야에서 가장 악명 높은 익스플로이트 키트[3] 중 하나인 ‘앵글러(Angler)’를 살펴보자. 글로벌 네트워킹 기업 시스코(Cisco) 내 사이버 안전기구 탈로스가 발표한 보고서에 따르면, 막강한 공격력과 대담한 금액 요구로 기업들을 떨게 만드는 앵글러의 수익 수준은 연간 6000만 달러(약 700억 원)에 이른다.

랜섬웨어의 기세는 점점 더 맹위를 떨치고 있다. △크립토락커 △토렌트락커 △크립토월(과 그 변종, 앵글러 포함) △테슬라크립트 △록키 등 신종 랜섬웨어는 계속해서 쏟아지는 추세이며 그 피해도 눈덩이처럼 불어나는 추세다. 요컨대 랜섬웨어는 전 세계 사이버 범죄자가 호시탐탐 기회를 엿보는, 커다란 시장으로 자리 잡았다.

랜섬웨어, 이렇게 진화해왔다 1989 에이즈 트로이안(AIDS Trojan) 2010 러시안 윈록(Russian WinLock) 2012 가짜 경찰 행세+FBI 경고 창 2013 랜섬웨어+비트코인 지불 2014 크라우티(Crowti): 랜섬웨어+익스플로이트 키트(exploit kit) 랜섬웨어+감염된 웹 광고 2015 처크립트(ChirCrypt): 랜섬 지불이 되지 않으면 모욕을 줌 2016 말하는 랜섬웨어 '케르베르(Cerber)' 랜섬웨어 타깃이 분명해짐

주의 본인의 모든 파일을 Crypt0L0cker 바이러스로 코딩했습니다 본인의 모든 중요한 파일을 (원격 네트워크 드라이브와 USB 등에 저장된 파일 포함): 사진·동영상·문서 등 Crypt0L0cker 바이러스로 코딩했습니다. 본인의 파일을 복구할 유일한 방법은 저희한테 지불하는 방법입니다. 그렇지 않으면 본인의 파일이 손실됩니다.  경고: CryptoLocker 제거하는 것이 암호화된 파일에 액세스를 복원에 대한 도움이 안됩니다. 파일 복원 지불하려면 여기를 클릭하십시오▲크립토락커에 감염됐을 때 나타나는 게시 창의 예(출처: 경찰청 사이버안전국)

랜섬웨어의 공략 대상은 대개 영어 사용자다. 따라서 초기엔 미국·캐나다·영국·호주 등 영어권 국가에서 대부분의 피해가 발생했다. 하지만 최근 몇 년 새 영어 외 언어 버전이 속속 등장하며 피해는 비영어권 국가, 이를테면 이탈리아·프랑스·스페인 등에서도 급속도로 번지고 있다. 한국어 버전도 등장했다. 악성 코드 차단 소프트웨어 개발 기업 ‘이스트소프트’ 발표에 따르면 지난 한 해 동안 자사 바이러스 검사 소프트웨어 ‘알약’을 통해 사전 차단된 랜섬웨어 공격은 397만4658건이었다.

 

천하무적? 피해 방지 방식도 속속 개발 중

해를 거듭할수록 과격해지고 위험해지는 랜섬웨어의 변용은 전 세계, 특히 기업들을 떨게 하고 있다. 그렇다고 마냥 두려움에 움츠러들 필요는 없다. 랜섬웨어를 ‘잡는’ 방법도 부지런히 개발돼 나오고 있기 때문이다.

가장 먼저 할 일은 자신(이 속한 기업)의 컴퓨터를 안전하게 사용하는 습관이 몸에 배도록 하는 것이다. 모든 데이터를 자주 백업, 따로 보관해두면 랜섬웨어의 공격을 비교적 안전하게 방어할 수 있다. 기기에 연결돼 있지 않은 백업 데이터까지 암호화할 순 없기 때문이다. 데이터 양이 많아 클라우드를 이용해야 할 경우라면 안전 장치는 충분한지부터 확인할 필요가 있다. 기기 하드웨어∙소프트웨어 안전성 강화에도 만전을 기해야 한다. 업그레이드를 수시로 실시해줘야 하는 건 물론이다. 확실히 신뢰할 수 있는 상대가 보낸 온라인 메시지가 아니면 절대 클릭하지 않는 것도 반드시 기억해야 할 습관 중 하나다.

다음으로 중요한 건 악성 코드의 접근을 차단하는 일이다. 악성 코드 탐지∙치료 프로그램을 자주 업그레이드, 랜섬웨어를 비롯한 악성 코드가 저절로 걸러지게 해야 한다. 최근엔 빅데이터를 활용, 수상한 코드나 메시지의 접근이 감지되면 일단 차단하고 점검한 후 자동으로 폐기하는 서비스도 많이 나오고 있다. 무수한 이미지를 학습한 결과로 서로 다른 안면을 인식하듯 사용자가 일상적으로 소통하는 콘텐츠와 유형이 다른 코드가 접근을 시도하면 미세한 수준까지 감별, 대응하는 방식이다. 수상한 이메일 등이 도착하는 등 여러 정황 상 자신의 컴퓨터가 랜섬웨어 피해를 받고 있는 게 아닌지 의심된다면 곧바로 경찰청 사이버안전국 등에 신고, 도움을 요청한다.

랜섬웨어 피해 방지법 1)모든 데이터를 자주  백업해서 따로 보관할 것 2)악성 코드 탐지 또는 치료 프로그램을 자주 업그레이드할 것 3)랜섬웨어 피해가 의심될 경우 경찰청 사이버안전국 등에 신 고해서 도움을 받을 것

좀 있으면 봄이다. 마냥 평온해 보이는 봄날 풍경 이면에서도 치열하게 쫓고 쫓기는 생존 경쟁이 일어나고 있다, 고 진화생물학자들은 말한다. 날이 따뜻해지면 식물은 새싹을 틔우고 동물은 연하고 영양 풍부한 그 잎을 먹어 치우려 한다. 염소가 한 잎 싹을 베어 문 순간, 그 싹은 독성 호르몬을 몸 전체에 퍼뜨린다. 그래서 염소가 또 다시 뜯으려 할 땐 이미 독성으로 인해 맛이 변해버린다. 그럼 염소는 한 번 베어 문 풀을 버리고 그 옆의 풀을 새로 뜯는다. 식물은 이에 대비해 무수한 싹을 내어 그중 공격을 피한 싹이 살아남도록 한다. 포식자와 피식자 사이에서 벌어지는, 이 같은 ‘군비 경쟁’을 거치며 복잡하고도 성숙한 생태계가 유지되는 것이다.

CYBER SECURITY 사이보 보안을 나타내는 이미지입니다

스페셜 리포트가 수 차례 주제로 다뤄왔듯 오늘날 세상은 정보통신기술(ICT)의 발달 덕에 한층 풍부해지고 효율적 방향으로 나아가고 있다. 한편에선 그 과정을 바짝 쫓아가며 무임승차하려는 사이버 무법자들도 잰걸음을 계속하고 있다. 그 공격성만 보면 충분히 위협적이다. 하지만 전체적으로 볼 때 그런 ‘마이너스 행보’가 온라인 생태계를 더 생동감 있게 만들고 있는지도 모른다. 평소 그런 움직임을 면밀히 파악, 빈틈 없이 대비하는 습관을 갖추기만 한다면 말이다.


[1] Contents Delivery Network. 콘텐츠를 임시 저장 서버에 옮겼다가 수요가 있을 때 사용자에게 전달하는 네트워킹 방식

[2] Trojan horse. 사용자가 의도하지 않은 코드를 정상적 프로그램에 삽입, 사용자 정보를 빼가는 악성 프로그램

[3] exploit kit. 웹 서버와 통신하는 상대 시스템의 소프트웨어 취약점을 악용, 악성 코드를 업로드하고 실행하도록 설계된 소프트웨어 모음

삼성전자 뉴스룸의 직접 제작한 기사와 이미지는 누구나 자유롭게 사용하실 수 있습니다.
그러나 삼성전자 뉴스룸이 제공받은 일부 기사와 이미지는 사용에 제한이 있습니다.
<삼성전자 뉴스룸 콘텐츠 이용에 대한 안내 바로가기>

TOP