한동안 잠잠했던 랜섬웨어가 다시 기승을 부리기 시작했다. 지난해 10월과 11월 국내에 많은 피해를 입혔던 크립토락커와 크립토월은 12월 경 부터 대부분의 백신을 통해 차단되면서 피해사례는 급격히 줄어들었다. 그러다가 2월 확장자를 ‘.locky’로 바꾸는 신종 랜섬웨어가 발견되기 시작했으며, 3월부터 이메일을 통해 우리나라 사용자에게도 빠르게 확산되고 있다.
록키 랜섬웨어는 드라이브바이다운로드 방식보다 이메일 첨부파일을 통해 배포하는 양상을 보이고 있다. 록키 랜섬웨어 이메일은 초기에 MS 오피스 매크로 형태로 첨부됐으며, 최근에는 자바스크립트 파일 첨부 형태로 나타난다.
이노티움의 최근 보고서에서는 록키 랜섬웨어 이메일은 비즈니스 정보로 위장해 사용자를 속이며, 감염대상 PC 언어를 감지해 피해자가 사용하는 언어로 메시지를 보내는데 언어 구사력은 자동번역기가 아니라 전문 번역가 수준으로 나타난다.
이형택 이노티움 대표는 “록키 랜섬웨어가 빠른 속도로 진화하고 있으며, 금융관련 해킹을 전문으로 진행해 온 조직이 관여하고 있는 것으로 추정된다”며 “랜섬웨어와 전자금융사기가 결합한 새로운 공격으로 진화할 가능성도 배제할 수 없다”고 말했다.
모바일 랜섬웨어, 가짜 앱스토어로 사용자 유인
모바일 랜섬웨어도 활개를 치고 있다. 트렌드마이크로는 블로그를 통해 모바일 랜섬웨어의 위협을 경고했는데, 안드로이드 스마트폰을 겨냥하는 랜섬웨어는 주로 공식 마켓인 구글플레이가 아니라 사설 앱스토어를 통해 감염된다. 일부 악성 앱은 구글플레이와 동일한 UI로 위장한 가짜 앱스토어를 통해 배포된다.
모바일 랜섬웨어는 단말기에 설치된 보안 제품 기능을 비활성화해 탐지되지 않도록 하며, 감염됐을 때 경고메시지를 통해 금전을 요구한다. 모바일 랜섬웨어에 감염됐을 때는 안전모드로 부팅해 랜섬웨어 시작을 제한한 후 제거할 수 있지만, 모두 다 제거되는 것은 아니기 때문에 랜섬웨어에 감염되지 않도록 주의하는 것 외에 방법이 없다.
랜섬웨어, 사회기반 장악한 사이버 테러 벌일 수도
랜섬웨어는 향후 APT 공격과 결합해 더욱 위험성을 높여나갈 가능성도 제기된다. 공격자는 타깃 시스템에 숨어들어 필요한 정보를 빼내는데 그치는 것이 아니라, 시스템에 저장된 데이터를 암호화해 비트코인을 요구하면서 수익성을 높일 것이다.
미국 헐리우드장로병원의 경우처럼 시스템을 장악한 후 금전을 요구하는 공격도 계속 발생할 것으로 보이는데, 만일 사회기반시설을 장악하게 된다면 심각한 피해를 양산할 수 있다. 즉 사이버테러의 수단으로 랜섬웨어가 이용될 수 있다는 뜻이다.
그러나 랜섬웨어 피해를 막을 수 있는 방법은 많지 않다. 랜섬웨어 공격자들은 점점 더 조직화·사업화되고 있으며, 기존의 악성코드·해킹조직과 결합해 더욱 지능적인 공격을 진행할 가능성이 높다. 일각에서는 랜섬웨어 조직과 기존의 해킹 조직의 갈등으로 새로운 공격과 배포 기술이 등장할 가능성을 제시하고 있기도 하다.
이형택 이노티움 대표는 “IoT에 랜섬웨어가 이용되면 사회 전체에 막대한 피해를 입힐 수 있다. IoT는 인터넷에 연결돼 모든 업무가 처리되며, 보안에 취약하기 때문에 IoT를 노리는 랜섬웨어 공격은 빠르게 확산될 것”이라며 “사이버 전쟁의 수단으로 랜섬웨어가 사용되지 않도록 대책 마련이 시급하다”고 말했다.
