지난 2015년 4월, 인기 커뮤니티 사이트를 방문한 사용자 컴퓨터에 이상한 현상이 발생했다. 갑자기 컴퓨터 시스템에 접근할 수 없게 되거나, 저장한 사진과 문서 파일 등을 열 수 없는 일이 발생했다. PC뿐 아니라 PC에 연결된 외장형 하드디스크 드라이브(HDD), 네트워크 드라이브로 연결된 서버, 퍼블릭 클라우드 스토리지 서비스, 문서 중앙화 시스템 속 데이터까지 사용자가 모르는 사이에 잠겼다. 하루 아침에 갑자기 컴퓨터에 저장된 모든 데이터를 볼 수 없는 일이 발생했다. 이른바 ‘랜섬웨어(ransomware)’로 유명한 ‘크립토락커(Crypt0L0cker)’ 바이러스에 PC가 감염돼 모든 데이터가 암호화 된 탓이다.

▲ 랜섬웨어의 일종인 ‘크립토락커’에 감염된 모습. <출처: 경찰청 사이버안전국></div>
▲ 랜섬웨어의 일종인 ‘크립토락커’에 감염된 모습. <출처: 경찰청 사이버안전국>

몸값 요구하는 악성 프로그램

랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다.

▲ 랜섬웨어 공격 기법 <출처: 한국인터넷진흥원></div>
▲ 랜섬웨어 공격 기법 <출처: 한국인터넷진흥원>

랜섬웨어는 2005년부터 본격적으로 알려지기 시작해, 2013년 들어 전세계적으로 급증하고 있다. 랜섬웨어 공격을 받은 공공기관, 기업, 개인 PC 등이 매년 늘어나는 추세다.

이스트소프트가 발표한 ‘2016년 랜섬웨어 동향 결산’에 따르면, 지난 2016년 1월부터 12월까지 ‘알약’을 통해 사전 차단된 랜섬웨어 공격은 총 397만4658건으로 나타났다. 랜섬웨어 공격은 해마다 과격해지고 위험해지면서 보안 위협도 덩달아 높아졌다.

▲ 2016년 랜섬웨어 동향 결산 <출처: 이스트소프트></div>
▲ 2016년 랜섬웨어 동향 결산 <출처: 이스트소프트>

랜섬웨어 역사는 10년이 넘는다. 과거에는 주로 사용자 PC 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 식이었다. 그러나 당시엔 공격자가 걸어놓은 암호화 수준이 낮아 복호화 방법을 통해 쉽게 데이터를 복구할 수 있었다.

그러나 비트코인이 등장하고 2013년 하반기, 강력한 암호화 알고리즘으로 파일을 암호화하고 돈을 요구하는 랜섬웨어 '크립토락커'가 등장하면서 상황이 달라졌다.

크립토락커는 사용자 PC에 저장돼 있는 문서나 사진 파일을 공개키 암호화 방식인 ‘RSA-2048’로 암호화한다. 그런 다음 피해자에게 ‘암호 해독키를 원하면, 지정한 기한 안에 돈을 송금하라’고 협박한다. 공격자는 기한 안에 돈을 보내지 않으면 파일을 모두 복구할 수 없도록 만들겠다고 압박한다. 돈 역시 비트코인으로 받는 탓에 범인 추적이 어렵다.

크립토락커가 등장하면서 컴퓨터 암호화 방식이 랜섬웨어의 대세로 자리잡기 시작했다. 그러면서 보다 어려운 알고리즘으로 암호화해서 사용자 데이터를 인질로 삼는 다양한 랜섬웨어가 등장했다.

한글화된 랜섬웨어까지 등장

지금까지 국내에 알려진 랜섬웨어 종류는 크립토락커 외에도 ‘테슬라크립트(TeslaCrypt)’, ‘크립트XXX(CryptXXX)’, ‘록키(Locky)’ 등 다양하다. 음성메시지를 내보내는 랜섬웨어부터 시작해서, 한글 파일을 암호화하는 랜섬웨어까지 공격 방법도 다양하다.

국내에서 가장 잘 알려진 랜섬웨어 중 하나인 크립토락커는 2013년 9월 처음 발견됐다. 자동실행 등록 이름이 ‘크립토락커'로 돼 있는 것이 특징이다. 웹사이트 방문 시 취약점을 통해 감염되거나, 이메일 내 첨부파일을 통해 주로 감염된다. 일단 감염되면 사용자 PC 데이터 확장자를 ‘encrypted’ 또는 ‘ccc’로 변경하는 식으로 파일을 암호화한다. 그런 다음 암호화된 파일이 든 모든 폴더 안에 복호화 안내 파일 2종류를 생성한다. ‘윈도 볼륨 셰도우(Windows Volume Shadow)’를 삭제하기 때문에 윈도 시스템 복구가 불가능하다.

▲ 크립토락커에 감염된 모습. <출처: 알약 블로그></div>
▲ 크립토락커에 감염된 모습. <출처: 알약 블로그>

테슬라크립트는 지난 2015년 국내에 많이 유포된 랜섬웨어다. 취약한 웹페이지 접속 및 이메일 내 첨부파일 등을 통해 퍼진다. 파일 확장자를 ‘ecc’, ‘micr’ 등으로 변경한다. 드라이브 이름과 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정한다. USB 메모리 같은 이동식 드라이브나 네트워크 드라이브는 감염되지 않는다.

록키는 2016년 3월 이후 이메일을 통해 퍼진 랜섬웨어다. 수신인을 속이기 위해 ‘Invoice’, ‘Refund’ 등의 제목을 사용하는 것이 특징이다. 자바스크립트 파일이 들어 있는 압축파일을 첨부하고, 이용자가 이를 실행하면 해당 시스템이 감염된다. 일단 감염되면 파일들이 암호화되고 확장자가 ‘locky’로 변한다. 바탕화면에 텍스트 파일로 복구 관련 메시지가 뜨는 것이 특징이다.

크립트XXX는 2016년 5월 국내에 모습을 드러냈다. 해외에서 한번 복화화 방법이 공개됐으나, 공격자가 이를 보완한 파일을 다시 만들었다. 한마디로 바이러스에 대비한 백신을 만들었는데, 해당 백신에 내성이 생긴 슈퍼 바이러스가 등장한 셈이다.

크립트XXX에 감염되면 파일 확장자가 ‘crypt’ 등으로 변하고, 바탕화면에 복구 안내 메시지가 뜬다. 그러면서 ‘데이터를 잃기 싫으면, 비트코인으로 대가를 지불하라’는 메시지가 뜬다.

▲ 크립트XXX에 시스템이 감염된 모습. <출처: 하우리></div>
▲ 크립트XXX에 시스템이 감염된 모습. <출처: 하우리>

말하는 랜섬웨어로 유명한 ‘케르베르(CERBER)’도 있다. 이 랜섬웨어에 감염되면 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted”(“이봐! 이보라고!? 당신 문서, 사진, 데이터베이스와 중요한 파일들이 암호화됐어”)라는 음성 메시지가 나온다. 웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 ‘cerber’로 변경한다.

이메일·문자·광고 등 감염 경로도 다양해

랜섬웨어는 이메일, 웹사이트, P2P 사이트 등을 통해 주로 퍼진다. 사용자 눈에 띄는 게 아니라 파일 또는 오피스 문서파일에 숨어 빈틈을 노린다. PC만 랜섬웨어에 감염되는 것은 아니다. 최근 랜섬웨어는 영역을 확장해 안드로이드 스마트폰 데이터까지 위협하고 있다.

특히 ‘신뢰할 수 없는 사이트’를 통해 랜섬웨어가 퍼지는 경우가 많다. 이 경우 단순히 홈페이지를 방문만 해도 랜섬웨어에 감염된다. 일명 ‘드라이브 바이 다운로드’ 기법을 이용해서다.

▲ 웹사이트 광고 업데이트 서버에 악성코드가 침투해 랜섬웨어를 유포한 사례. <출처: 경찰청 사이버 안전국></div>
▲ 웹사이트 광고 업데이트 서버에 악성코드가 침투해 랜섬웨어를 유포한 사례. <출처: 경찰청 사이버 안전국>

드라이브 바이 다운로드는 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨기고, 이 악성코드를 사용자가 자신도 모르게 내려받아 실행해 감염되는 방식이다.

이메일도 안심할 수 없다. 출처가 불분명한 이메일, 첨부파일, 메일 웹주소(URL)를 통해 사용자 PC를 감염시키기도 한다. 사용자가 이메일을 열어보도록 유도하기 위해 마치 아는 사람인 것처럼, 알아야 하는 정보인 것처럼 제목을 달아 속이기도 한다.

▲ 이메일에 요금 청구서를 사칭하여 악성코드 첨부. <출처: 경찰청 사이버 안전국></div>
▲ 이메일에 요금 청구서를 사칭하여 악성코드 첨부. <출처: 경찰청 사이버 안전국>

파일공유 서비스 ‘토렌트(Torrent)’나 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 주고받을 때도 랜섬웨어에 감염될 가능성이 높다.

최근에는 페이스북이나 링크드인 같은 사회관계망 서비스(SNS)를 이용해 사용자 PC를 감염시키는 경우가 있다. 해당 SNS 올라온 단축 URL이나 사진을 이용해 랜섬웨어를 유포하는 식이다.

데이터 백업은 필수

현재 창궐하고 있는 랜섬웨어는 50종이 넘는다. 랜섬웨어 유포 방식도 이메일, 메신저, SNS 등 다양하다. 모든 랜섬웨어로부터 완벽하게 컴퓨터를 지킬 수 있는 방법은 없다. 철저한 예방만이 내 PC와 데이터를 지킬 수 있다.

경찰청 사이버안전국에 따르면, 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 정기적으로 백업 또는 클라우드 서버에 업로드해야 한다. 이메일에 첨부된 파일은 지인이 보냈거나 단순 문서 파일이어도 섣불리 실행하지 않는 것이 좋다. 특히 요청한 자료가 아니면 유선 등으로 발신자와 확인 후 실행해야 한다. 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, 토렌트 등을 통해 내려받은 파일을 실행할 때도 주의해야 한다. 백신 소프트웨어를 설치하고, 항상 최신 버전을 유지하는 게 중요하다. 교과서 같은 얘기지만, 가장 높은 예방법이다.

그럼에도 불구하고 랜섬웨어에 PC가 감염됐다면, 경찰청은 당황하지 말고 다음과 같은 조치를 취하라고 권고한다.

1. 랜섬웨어 감염시 외장하드나 공유폴더도 함께 암호화 되므로 신속히 연결 차단.
2. 인터넷선과 PC 전원 차단.
3. 증거 보존 상태에서 신속하게 경찰에 신고.
4. 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료 요청.
5. 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용.
6. 평소 해킹 상담, 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr, 전화 118)에서 서비스 제공.


이 글은 ‘네이버캐스트→테크놀로지월드→용어로 보는 IT’에도 게재됐습니다. ☞‘네이버캐스트’ 보기

저작권자 © 블로터 무단전재 및 재배포 금지