록키(Locky) 랜섬웨어가 급속한 속도로 퍼지고 있다. 업무와 연관된 메일로 위장해 공격하는 록키 랜섬웨어는 사용자가 아무리 주의를 기울인다 해도 완벽하게 차단할 수 없다. 심각한 사회 문제로 번지고 있는 랜섬웨어 공격을 집중 진단한다.<편집자>

사용자 파일을 .locky로 바꾸는 ‘록키’ 랜섬웨어가 최근 며칠간 급속한 속도로 퍼지고 있다. 업무와 연관된 이메일을 위장해 첨부파일이나 URL을 클릭할 수 밖에 없게 만든다.

최근 며칠간 등장한 랜섬웨어는 ‘INVOICE’ ‘PAYMENT’ 등의 제목으로 발송되며, 수신자의 이름도 정확하게 명시하고 있어 이와 관련된 업무를 수행하는 사람이라면 의심 없이 첨부파일이나 URL을 클릭할 수 밖에 없다.

랜섬웨어 공격자가 요구하는 금액은 0.5비트코인이었으나, 이번에는 4비트코인(약 200만원) 까지 올라가 피해가 더욱 심각해지고 있다. 공격자가 인질로 잡은 데이터가 회계와 관련된 것이라면 수백만원의 돈을 들여서라도 복구하고자 할 것이다. 이 상황이 반복되면 랜섬웨어 공격은 더욱 성행할 것이고, 사람들은 인터넷과 단절되어 살아가지 않는 이상 피해를 막을 수 없게 된다.

이형택 이노티움 대표는 “랜섬웨어 감염된 피해자 모두 백신을 사용하고 있었지만, 백신업체에서는 신종 악성코드를 이용한 피해이기 때문에 차단할 수 없었다고 책임을 회피한다고 한다. 랜섬웨어는 앞으로 상상할 수 없을 만큼 심각한 피해를 낳게 될 것”이라고 말했다.

“한 번 공격 당한 시스템, 반복적으로 감염 가능”

랜섬웨어 피해의 대표적인 사례로 꼽히는 것은 미국 LA 할리우드장로병원이다. 이 병원은 랜섬웨어로 의료시스템까지 전면 마비돼 일주일 이상 의료 서비스를 할 수 없게 됐다. 초기 공격자는 340만달러(9000비트코인)을 요구했으며, 할리우드장로병원은 공격자와 협상해 1만7000달러(약 2000만원)을 주고 복구한 것으로 전해진다.

병원 관계자는 정보보안 감사를 통해 사고의 원인을 규명하고 재발방지를 위한 대책을 마련할 것이라고 밝히며, 특히 한 번 공격당한 시스템은 공격자가 취약점을 파악한 상태로, 추가 공격이 진행될 가능성이 높기 때문에 대책 마련이 시급하다고 강조했다.

지하시장에서 랜섬웨어 성장률이 가파르게 올라가면서 수많은 사이버 범죄자들이 이 시장에 몰리고 있으며, 악성코드 제작 방식과 유포 방식도 고도화·지능화 되고 있다.

2월 발견된 테슬라크립트 변종은 확장자를 ‘.mp3’로 바꿔 어떤 파일이 감염됐는지 파악하지 못하게 만든다. 감염된 파일은 .ccc .vvv 등으로 확장자가 바뀌었지만 지난해 .micro로 바꾸었다가 이제는 .mp3로 바꿔 사용자를 혼란스럽게 만드는 것이다.

록키’는 토르 네트워크를 통해 유포하며, 타깃 맞춤형으로 제작된 이메일을 통해 공격한다. 네트워크에 공유된 데이터를 암호화하며 짧은 시간에 수많은 컴퓨터를 감염시키면서 무서운 속도로 확장하고 있다.

복구업체 등장으로 랜섬웨어 공격 더욱 증가

랜섬웨어 시장은 개발조직과 판매조직, 배포조직으로 나뉘어 발전하고 있으며, 개발조직은 사이버 공격에 대한 지식이 없어도 공격할 수 있도록 쉽고 자동화된 공격툴킷을 제공한다. 서비스 방식의 랜섬웨어(RaaS)도 등장해 공격시장의 장벽이 낮아지고, 범죄조직이 쉽게 이 시장에 진출하고 있다.

이글루시큐리티는 복구 대행업체가 등장하면서 랜섬웨어 공격이 더욱 늘어나게 됐다고 설명한다. 랜섬웨어 공격자들이 요구하는 비트코인은 일반 사람들이 이해하기 어렵다. 복구업체들은 공격자와 협상해 요구 금액을 낮춰 비트코인을 보내주고 그 비용에 수수료를 포함시켜 피해자에게 청구한다. 즉 피해자가 더 쉽게 비용을 지불할 수 있는 산업구조가 만들어진 것이다.

그렇다고 해서 피해자들이 데이터를 완전히 다 포기할 수도 없다. 기업의 회계자료, 생산설비 자료, 기밀문서 등 중요한 데이터가 암호화 돼 복구할 수 없다면 심각한 타격을 입게 된다. 차라리 몇 백만원의 비용을 들이더라도 돈을 주고 복구하는게 더 합리적인 결정일 수 있다.

또한 한 번 공격을 당한 시스템은 같은 방법으로 또 다시 공격을 당할 수 있으며, 추가 피해를 입었을 때는 더 많은 돈을 주어야 복구가 가능하다. 돈을 주어도 복구하지 않고 도망가는 ‘먹튀’ 비중도 높기 때문에 돈을 주고 데이터를 살리려는 시도는 바람직하지 않다.

김남욱 이셋코리아 대표는 “랜섬웨어는 인간의 심리를 아주 잘 이용하는 기법”이라며 “APT는 공격이 발생했다는 사실을 피해자가 알아차리지 못하도록 은밀하게 진행되지만, 랜섬웨어는 공격사실을 알리고 피해자가 지불 가능한 금액을 요구하고, 복구 가능성을 강조하기 때문에 피해자가 돈을 송금하는 비율이 높다”고 설명했다.

올해 랜섬웨어 공격은 PC를 넘어 스마트폰, 웨어러블 디바이스, 스마트가전·스마트홈으로 확대될 가능성이 높다. 할리우드장로병원의 사례처럼 병·의원을 노리는 공격도 성행할 것으로 보인다. 병·의원은 중요도가 높은 데이터가 대규모로 저장돼 있지만 보안은 취약한 상황이다. 보안 시스템 투자에 소극적이며, 임직원과 의료진의 보안의식도 낮아 쉽게 공격이 가능하다.

APT 공격 방법의 하나로 랜섬웨어가 사용될 가능성도 배제할 수 없다. 국가기간시설을 마비시킨 후 금전을 요구할 수 있으며, 시스템이나 데이터를 잠근 후 돈을 줄 때 까지 DDoS 공격을 일으켜 서비스를 완전히 중단시킬 수도 있다.

윤명익 한국트렌드마이크로 엔드포인트보안팀장은 “랜섬웨어는 앞으로도 몇 년간 사이버 보안의 뜨거운 감자가 될 것이다. APT 공격과 병행해 위협 수준을 한차원 더 높일 것”이라며 “랜섬웨어 방어를 위해 보안 시스템을 재정비하는 한편, 구성원의 보안교육을 진행해야 한다”고 조언했다.