랜섬웨어가 전 세계를 장악했다. 5월 13일 윈도우 SMB 취약점을 이용해 웜 형태로 전파되는 ‘워너크라이(WannaCry)’가 순식간에 전 세계 인터넷 사용자를 공포에 떨게 했으며, 우리나라에서는 웹호스팅 업체가 감염돼 5000여개에 이르는 기업이 피해를 입었다.
특히 워너크라이의 경우, 공개된 취약점을 이용했으며, 취약점이 있는 PC와 서버로 자동으로 전파돼 인터넷에 연결만 돼 있으면 감염돼 세상을 더욱 놀라게 했다. 취약점 패치가 배포되어도 하지 않는 이유는 사용자들이 보안위협에 대해 잘 알지 못하고 있다는 이유도 있지만, 패치를 하지 못하는 환경에 있는 시스템이 많기 때문이기도 하다.
많은 시스템들이 패치 했을 때 애플리케이션에 장애가 발생할 수 있다는 이유로 패치를 하지 않는다. ATM, POS, 의료기기, 공장자동화시스템 등은 패치 시 어떤 장애가 발생할지 모르기 때문에 충분한 테스트를 거친 후 패치를 한다. 패치하기 전 까지 취약점은 그대로 노출된 상태라는 뜻이다. 또한 서비스 기간이 종료된 시스템의 경우 패치가 없거나 비싼 비용을 치러야하기 때문에 패치하지 않는다.
사이버 테러로 랜섬웨어 이용하나
워너크라이에 대한 풀리지 않는 의문 중 하나는 ‘누가, 왜 공격을 했을까’ 이다. 워너크라이의 빠른 전파속도를 감안하면 공격자들이 얻은 수익은 그리 크지 않았다는 것이 중론이다. 영국의 병원이 일제히 감염됐으며, 러시아, 중국, 일본, 미국, 유럽 일대에서 랜섬웨어 감염 피해가 속속 드러났다. 그러나 공격자들은 비트코인을 받는데 적극적이지 않으며, 비트코인을 보내도 복호화 키를 주지 않고, 암호화 방식 역시 복호화 할 수 없는 오류를 저질렀다. 또한 악성코드에 킬스위치를 넣어 전파 속도를 억제할 수 있도록 했다.
이러한 점을 들어 보안 전문가들은 워너크라이는 정치적인 목적을 가진 사이버테러로 규정하고 있으며, 북한의 연이은 미사일 발사 시도를 들어 북한이 사이버 공격 능력을 과시하기 위한 것이라고 분석한다.
그러나 배후에 다른 나라를 둔다 해도 전혀 이상할 것은 없다. 러시아는 미국 대선 개입 의혹을 받고 있으며, 중국은 한반도 사드 배치를 두고 갈등을 빚고 있다. 일본은 평화헌법 개정을 통해 군 세력을 강화하고 있으며, 사이버전 능력을 배가하는 것도 이상하지 않다. 이슬람 혹은 IS 소행이라는 설도 충분히 가능하다. 이번 공격으로 인해 영국의 병원이 큰 피해를 입었으며, 영국은 브렉시트 이후 이슬람 세력으로부터 연이어 테러를 당하고 있다. 사이버 테러를 통해 정치적·금전적 목적을 달성했다 해도 충분히 가능한 이야기가 된다.
2016년 랜섬웨어 피해금액 1조 200억원
랜섬웨어는 사이버 공격자들에게 ‘노다지’와도 같은 수익원이다. 유로폴은 랜섬웨어가 개인과 기업 모두에서 가장 중대한 위협이 될 것이라고 경고했는데, 공격자 입장에서 랜섬웨어는 쉽게 공격하고 쉽게 돈을 벌 수 있기 때문이다. 공격자들은 한 번 공격에 1비트코인을 요구하는데, 일부 공격은 좀 더 낮은 금액을 제시해 피해자들의 지갑을 쉽게 열도록 한다.
몸값이 낮아진 것은 랜섬웨어 공격방식이 지하시장에서는 오픈돼 있어 공짜 혹은 저렴한 비용으로 사용할 수 있기 때문이다. 서비스 방식으로 제공하는 RaaS도 ‘절찬리’에 판매중이며, 케르베르가 그 대표적인 예이다.
2016년 전 세계 랜섬웨어 피해 금액 1조200억원이며, 랜섬웨어 공격 건수는 2015년 380만건에서 2016년 6억3800만건으로 167배 증가했다. 국내 랜섬웨어 피해자는 2016년 13만명에 이르며, 3255건, 3000억원의 피해를 일으켰다.
미국 정부의 통계에 따르면 랜섬웨어 공격은 2016년에 4배 증가했으며 매일 평균 4000건이 발생하고 있다. FBI는 2016년 첫 3개월간 미국에서 2억900만 달러 이상의 몸값이 지불됐다고 보고했다. 2015년 통틀어 2400만 달러였던 것과 비교하면 771% 증가한 것이다.
랜섬웨어 공격방식도 다양하다. 지난해 전체 랜섬웨어 공격의 1/4을 차지한 ‘록키’ 랜섬웨어는 ‘payment’ ‘invoice’ 등의 제목으로 이메일을 보내 업무와 연관된 내용으로 오해하고 첨부파일을 실행시키도록 했다.
디스크를 암호화하는 ‘페트야’도 큰 피해를 입혔으며, ‘맘바’ 혹은 ‘디크립터’는 공격자가 표적으로 삼은 장치에 원격 액세스 하기위해 무차별적인 암호 대입 공격을 하여 전체 하드 드라이브를 잠근다. 세이드는 감염된 컴퓨터가 금융 서비스 기업의 것으로 판단되면 피해자의 파일을 암호화하는 대신 스파이웨어를 다운로드하고 설치하여 피해자에 대한 접근 방법을 변경시켰다.
“개인, 10초에 한번씩 랜섬웨어 공격 받아”
카스퍼스키랩이 조사한 바에 따르면 랜섬웨어는 지난해 1월 2분에 한 번 꼴로 기업을 공격했으나 10월 40초마다 한번씩 공격하는 것으로 집계됐다. 개인은 20초에 한번씩 공격당하다가 10월에는 10초마다 한번씩 공격을 당했다. 2016년 카스퍼스키랩이 발견한 신종 랜섬웨어 패밀리는 무려 62개에 달했으며, RaaS 모델이 발전하면서 악성코드를 자체적으로 개발하지 않는 공격자를 사로잡고 있다.
코드 개발자는 계약에 따라 악성코드와 바이러스를 범죄자에게 제공하며 고객 요구에 따라 수정된 버전을 고객에게 판매한다. 고객은 이 제품을 스팸 및 웹 사이트를 통해 배포하고 개발자에게 수수료를 지급한다. 이러한 모델에서 실질적인 이득은 코드 개발자가 가장 많이 누리게 된다.
전 세계 기업 20%는 랜섬웨어로 인한 보안 사고를 겪었으며, 피해 입은 SMB의 20%는 대가를 지불하고도 파일을 되찾지 못했다. 시스템 관리자가 랜섬웨어 공격을 모의 실험할 수 있는 도구로 사용하기 위해 개발된 교육용 랜섬웨어도 범죄자에 의해 빠른 속도로 무분별하게 악용됐다.
IBM X-FORCE 연구소의 보고서에 따르면 랜섬웨어 피해자 중 3명 중 1명 이상이 200달러 ~ 10,000달러 상당의 몸값을 지불하며, 전체 기업의 46%가 랜섬웨어 공격을 당했고 그 중 70%는 데이터를 찾기 위해 돈을 지불했다. 실제로 크립토락커 랜섬웨어 공격자는 공격하고 돈을 받은 ‘성공률’이 무려 41%에 달한다고 자랑하기도 했다. 이들은 300만달러에서 2700만달러의 수익을 얻은 것으로 추정된다. 크립토월 랜섬웨어 공격자는 3억2500만달러를 얻은 것으로 조사된 바 있다.
타깃형 공격 정밀성 높아져
랜섬웨어는 APT 공격기법을 접목해 공격 성공률을 높이고 있으며, 향후에는 대규모 사이버테러로 연결될 가능성도 있다. 워너크라이의 경우, 공격자의 목적과 의도를 정확하게 분석한 상황이 아니며, 변종에 정확하게 대응하지 못하면 심각한 사회적 혼란이 발생할 수도 있다.
신대규 KISA 침해사고분석단장은 “워너크라이는 공격자가 마음만 먹으면 전 세계 시스템을 일시에 감염시킬 수 있었는데, 그렇게 하지 않았던 것은 어설픈 초보자였기 때문일 수도 있고, 혹은 다른 공격을 위한 준비단계이거나 과시하기 위한 것 일수도 있다”며 “향후 어떤 변종으로 등장하게 될지 예의주시해야 할 것”이라고 말했다.
큰 규모의 랜섬웨어 공격을 예상한다면, 병원 시스템을 중단시켜 환자의 생명을 위험하게 하거나, 통신 시설을 마비시키고, 교통 통제 시스템을 중단시켜 사고를 유도할 수 있다. 전력·발전소 시설을 파괴할 수 있다.
체크포인트 보고서에서는 다양한 형태의 랜섬웨어 공격이 발생하고 있다고 설명한다. 데이터를 암호화하고 돈을 요구하는 형태 뿐 아니라, 데이터를 훔친 후 몸값을 지불하지 않으면 인터넷에 공개한다고 협박하는 것이다. 인터파크 해킹 사고가 그 예라고 체크포인트는 설명했다.
라드웨어는 미라이 봇넷과 유사한 ‘브리커봇(Brickerbot)’을 발견했는데, 이 봇은 IoT 기기를 영구적으로 망가뜨리는 악성 봇넷이다. IoT 기기를 이용해 대용량의 공격 트래픽을 유발시키고, 랜섬을 요구하는 한편, 공격 영향을 받는 기기를 못쓰게 만든다.
랜섬웨어 피해를 입지 않기 위한 특별한 방법이 있는 것은 아니다. 평소 보안 패치를 충실히 하고, 기기의 관리자 계정을 안전하게 관리하며, 신뢰할 수 없는 앱·웹 접근을 금지해야 한다. 기초 보안 체력을 튼튼히 하는 것 만이 랜섬웨어로부터 자산을 안전하게 지킬 수 있는 방법이다.
