'서비스형 랜섬웨어' 더 위험한 이유
'서비스형 랜섬웨어' 더 위험한 이유
  • 여정현
  • 승인 2021.08.17 09:58
  • 댓글 0
이 기사를 공유합니다

이미지=픽사베이
이미지=픽사베이

 

[뉴스로드] 올해 5월 미국 송유관 업체인 콜로니얼 파이프라인이 랜섬웨어 공격을 입어 유가는 7년만의 최고치에 도달했고 한국주유소의 유가도 덩달아 올랐다.

미국 일부 지역에서는 70%가 넘는 주유소가 문을 닫았다. 또한 미국의 육류공급업체 JBS도 피해를 입어 해커에게 약 128억원을 지불했다. 한국인터넷진흥원은 올해 전 세계 랜섬웨어 피해액을 22조원으로 추정하고 있는데 일부 기업이나 개인들은 피해를 입어도 신고하지 않는 경우가 있다.

관계당국에 신고된 랜섬웨어 피해 건수는 2019년 39건이던 것이 작년에는 127건으로 증가했고 올해는 7월까지 이미 97건이 신고되었다. 작년 11월 이랜드그룹이 피해를 입어 관계사 오프라인 점포 50곳 중 23곳의 영업을 일시 중단했고, 올해 5월에는 플랫폼업체 '슈퍼히어로'가 피해를 입어 35시간동안 서비스가 중단되었다가 복구되기도 했다. 이와 같은 추세라면 올해는 160건이 넘는 랜섬웨어 피해신고가 예상된다.

랜섬웨어는 몸값을 뜻하는 랜섬(ransom)과 소프트웨어(software)가 더해진 합성어이다. 쉽게 설명하면 컴퓨터 시스템을 감염시켜 접근을 제한하고 몸값을 요구하는 악성소프트웨어이다. 해커들은 데이터를 암호화하고 복호화키를 제공하는 대가로 거액을 요구하고 있다.

과거에는 이메일의 첨부파일로 감염을 시켰으나 최근에는 특정 웹사이트를 단순히 열어보는 것만으로도 감염된다. 보이스피싱 사기범들이 최근에 깔끔한 서울말씨를 사용하는 것처럼 침해를 시도하는 메일은 일반인이 보아서는 구별이 되지 않을 정도로 정교하게 제작된다. 

첨부파일은 실제 운송사의 배송정보로 위장하거나, 대금납부를 촉구하는 가짜 상업송장이나 발주서를 포함한 경우도 있다. 이메일에 귀하의 시스템이 보안에 취약하니 가짜 백신을 설치해달라는 친절한 안내 문구를 담는 경우도 있다. 

감염된 파일은 이미 암호화가 진행되었고, 확장자가 변경되기도 하는데 확장자를 원래대로 변경해도 해당 파일은 열리지 않는다. 해커들은 최근에 더 많은 돈을 벌기 위하여 데이터를 해커의 서버로 이동시킨 후 돈을 주지 않으면 공개하겠다는 신종협박 수단도 등장하고 있다. 협박을 정교하게 진행하기 위하여 특정 사이트에 접속한 아이디와 패스워드나  파일목록을 제시하기도 한다. 물론 해커는 악질적인 범죄자로 실제로 충분한 데이터도 가지고 있을 경우에도 협박을 진행하기도 한다.

해커는 대개 채팅보다는 이메일로 협상하고 있으며, IP대역별로 감염 컴퓨터 리스트를 가지고 있다. 해커에게 잘 부탁하면 몸값을 깎아주기도 하지만, 돈만 2~3차례 받고 데이터는 돌려보내지 않는 경우도 즐비하다. 또한 가상화폐 거래에서 추적을 피하기 위하여 해커는 텀블러를 사용하기도 한다. 텀블러는 단일 가상화폐 거래에 여러 명의 송금자들과 수금자들을 썩어서 송금자와 수신자의 추적을 어렵게 하는 기법이다.

한국의 경우 임의로 해커들과 교섭을 진행할 수 있지만 미국 일부 주의 경우 해커와 협상할 경우 관계 당국에 의무적으로 신고하도록 규정하고 있다. 다행히 미국 당국은 콜로니얼 파이프라인 사건에서 피해기업이 지불한 50억원의 대부분을 회수했다.

최초의 랜섬웨어는 1989년 조셉 팝이 작성한 에이즈로 알려졌다. 초장기에는 doc, xls, jpg, zip, pdf와 같이 흔하게 사용되는 확장자를 중심으로 암호화를 진행했다. 해커들은 2012년에 피해자들이 불법활동에 연루되었다며 돈을 요구하는 리베톤 유형의 랜섬웨어를 등장시키기도 했다.

한국에서도 유사한 수법의 보이스피싱 범죄가 발생했다. 2013년에는 몸값으로 지급된 범죄자금의 추적이 쉽자 몸값을 비트코인과 같은 암호화화폐로 지급하는 '크립토라커'가 등장했다. 랜섬웨어 등에 대한 두려움으로 피해자들이 NAS 등에 데이터백업을 강화하자 이번에는 사이놀로지 등의 네트웍서버를 대상으로 하는 ‘사이노라커’가 등장하기도 했다.

랜섬웨어 중 악명을 떨친 것은 2017년 5월부터 배포된 워너크라이이다. 전세계 99개국의 컴퓨터 12만대 이상을 감염시키고 4조원의 피해를 입혔다. 이 공격으로 영국의 보건의료시스템과 스페인의 통신회사 뗄레포니아, 러시아의 내무부 등도 피해를 입은 것으로 알려졌다.

최근 들어 랜섬웨어가 더욱 기승을 부리는 것은 범죄단체가 직접 랜섬웨어를 개발하지 않고 범죄조직이 해커로부터 프로그램을 라이센싱하고, 해커가 수익을 분배받는 '서비스형 랜섬웨어(Ransomware as a service)’가 확산되기 때문이다. 범죄단체가 개발팀, 공격팀, 협상팀을 따로 운영하면서 관련 공격이 더욱 확대되고 있다. 

석사급 이상만 3만명 이상 근무하는 미국의 국가안보국(NSA)이 확보한 해킹도구 중 일부가 유출된 이후에 랜섬웨어 공격도구들은 더욱 정교해졌다. 싱가폴 보안기업 다크 트레이서는 지난달 "모두 44개의 랜섬웨어 범죄조직이 왕좌를 놓고 치열하게 경쟁하고 있다."고 밝히기도 했다.

랜섬웨어에 대하여 과학기술정보통신부는 지난 5일 중소기업의 보안역량을 강화하는 사업을 진행하고, 랜섬웨어복구, 공격근원지 추적 등의 기술을 개발해 대응역량을 확보하겠다고 밝혔다. 또한 정유사나 자율주행 관제시스템에 대한 관리를 강화할 계획이다. ‘한미사이버워킹그룹’등 국가간 사이보보안 협의체를 통해 해외의 랜섬웨어 정보도 공유할 계획을 세우고 있으며, 사이버보안기본법도 법제화를 추진하고 있다.

정부는 다크웹에 대한 모니터링을 강화하고 경찰청 산하의 사이버테러대응조직에도 랜섬웨어 전담팀을 설립하는 것도 검토하고 있다.

보통 랜섬웨어대응 전략으로 메일보안솔루션, 백신, 탐지차단 솔루션 등이 꼽히고 있다. 최근의 랜섬웨어는 더욱 정교해지므로 향상된 백업전략이나 데이터금고 등의 정교한 데이터보관 대책이 필요하다. 전통적인 백업전략으로는 '3-2-1 전략'이 사용되었다. 사용하는 데이터를 작업현장의 다른 컴퓨터들이나 NAS 등 3군데 나누어 백업하고, 작업현장의 USB나 자기테이프 등의 이종의 매체 2군데에 추가로 백업하며 마지막 백업은 다른 사업장에 보관하는 것이었다. 또한 사본들은 보안사고가 발생할 경우 신속히 회복될 수 있도록 하여야 한다는 것이었다.

최근에는 백업전략으로 '3-2-1-1-0' 전략이 제시되는데 위의 '3-2-1'조치에 더하여 1개의 사본은 반드시 인터넷이 차단된 오프라인에 보관해야 하며 모든 매체들의 무결성이 담보되어야 한다는 것이었다.

더 향상된 '4-3-2' 백업전략도 논의되고 있다. 이것은 사업장에 4개의 사본을 만들고, 3개의 사본은 다른 사업장에 보관하되 그중 1개의 사본은 해커의 추적이 어려운 클라우드에 보관하며, 2개의 사본은 인터넷과 차단된 오프라인에 보관하라는 것이다.

최근에는 주요한 작업파일을 암호화된 폴더에 실시간으로 백업하고 인공지능 식별기법으로 랜섬웨어 활동이 감지되면 감염된 파일을 실시간 복구하는 솔루션도 등장했다. 또한 해커의 활동을 추적하기 위하여 침입내역을 블랙박스처럼 저장하는 도구도 개발되었다. 무엇보다도 랜섬웨어 피해를 막기 위해서는 미확인된 파일을 열지 말고, 위의 백업전략을 참고하여 백업을 진행하며, 주기적으로 운영체제나 소프트웨어를 업데이트하는 것이 바람직하다.

오래된 랜섬웨어의 암호화정보는 이미 다수가 해독되었지만 현재 여러 업체들은 정교하게 암호화된 데이터를 해독하는데 어려움을 격고 있다. 영화 '이미테이션 게임'을 보면 제2차대전 때 튜링이 독일의 에니그마 암호체계를 해독하는 험난한 과정을 엿볼 수 있다. 

최근에는 얽힘이나 중첩과 같은 양자역학적인 현상을 활용한 양자컴퓨터가 개발되고 있고, 양자컴퓨터를 활용함으로서 해독과정이 탄력을 받고 있다. 전통적인 컴퓨터가 0과 1을 사용한다면 양자컴퓨터는 00,01,10,11을 사용한다. 양자컴퓨터의 일부는 연구기관 등에 개방되어 있고, 실제로 양자컴퓨터를 사용한 랜섬웨어 피해 자료의 일부를 해독한 경우도 생기고 있다.

양자컴퓨터를 통한 암호화 가능성이 확대되자,5~10년 후 관련 정보가 해독된다며 현재 유통되고 있는 암호화패킷을 복사하여 저장하는 움직임도 확대되고 있다. 이에 주요 통신사들과 연구기관들은 양자컴퓨터로 해독할 수 없는 양자내성암호 체계를 새롭게 개발하고 있다. 

양자컴퓨터의 성능은 앞으로 비약적으로 발전할 것이며 인류가 이에 거는 기대도 커지고 있다. 하지만 뛰어난 양자컴퓨터들도 전통적인 컴퓨터에 비하여 비효율적일 수도 있으며, 인문학적인 사유를 필요로 하는 인류가 직면한 현안 문제들을 푸는데는 여전히 한계를 가지고 있다.
 

[필자약력] 여정현
서울대학교 법과대학을 졸업하고 대우그룹 회장비서실, 안양대 평생교육원 강사,국회사무처 비서관 등을 지냈다.

 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.