'사이버 인질범' 랜섬웨어 변종 확산…속수무책 형국

최신 백신도 무력화…현재로선 예방이 최선

(서울=연합뉴스) 고현실 기자 = 컴퓨터의 중요 정보를 암호화해 이를 푸는 대가로 금전을 요구하는 랜섬웨어(ransom ware)가 변종을 앞세워 빠르게 확산하고 있지만, 예방 외에는 뾰족한 해결책이 없어 우려를 키우고 있다.

1일 보안업계에 따르면 지난해부터 돈을 요구하는 메시지를 한글로 띄우는 랜섬웨어 버전이 잇따라 등장했다.

지난해 '크립토락커'와 '라다만트'에 이어 지난주에는 '크립트(crypt)XXX'의 한글 버전이 발견됐다.

'크립트XXX'는 정상 파일을 암호화한 후 '.crypt' 확장자로 변경해 사용자에게 비트코인(가상화폐)을 요구한다. '크립트XXX'의 한글 버전은 앞서 등장한 '크립토락커'와 '라다만트'의 한글 버전보다 가독성이 좋아진 것이 특징이다.

하우리 최상명 실장은 "전 세계를 대상으로 활동하는 랜섬웨어 공격자들이 한국을 하나의 시장으로 인식하기 시작했다고 볼 수 있다"며 "앞으로 한글 버전 랜섬웨어가 더욱 늘어날 가능성이 크다"고 말했다.

랜섬웨어는 2005년 본격적으로 등장해 최근 3∼4년 사이 크게 늘었다.

보안업체 시만텍에 따르면 지난해 국내에서 발생한 랜섬웨어만 4천400건에 달했다.

또 다른 보안업체 파이어아이의 분석 결과 지난 3월 일본 기업을 대상으로 한 랜섬웨어 공격은 작년 10월보다 3천600배 급증했고, 홍콩은 1천600배 늘었다. 한국도 같은 기간 약 22배 증가했다.

랜섬웨어가 늘어난 데는 비트코인의 확산과 변종의 잇따른 등장이 한몫했다.

2009년 등장한 비트코인은 현금과 달리 거래 이력이 남지 않아 추적이 어렵다.

최근 1~2년 사이 등장한 랜섬웨어 변종은 보안 솔루션을 무력화하고 피해자의 약점을 집중적으로 공략하는 점이 특징이다.

지난해 50여개 국가에서 발생한 '로키(Locky)'는 이메일의 첨부 파일을 통해 악성 코드를 유포한다.

'랜섬32'는 프로그래밍 언어인 자바 스크립트를 기반으로 한 최초의 변종이다. 리눅스와 맥 운영체제(OS) 간 호환이 가능해 운영체제를 가리지 않고 공격할 수 있다.

'키메라(Chimera)'는 돈을 지불하지 않으면 암호화된 파일을 인터넷에 공개하겠다고 협박한다. 민감한 개인 정보를 가진 기업에는 두려울 수밖에 없는 대상이다.

지난해 중반부터는 의뢰를 받고 랜섬웨어 제작을 대행해주는 서비스가 확산하기 시작했다. 전문적인 지식이 없더라도 랜섬웨어 공격을 할 수 있는 상황에 이른 것이다.

이처럼 랜섬웨어의 공격이 날로 거세지고 있지만, 보안 대책은 마땅치 않다.

암호화 알고리즘을 간단히 수정하는 것만으로도 쉽게 변종을 만들 수 있는 데다 일단 암호화된 데이터를 복구하기도 쉽지 않기 때문이다

특히 비대칭 알고리즘(RSA)의 경우 암호화하는 키(key)와 이를 푸는 복호화 키가 서로 달라 공격자의 개인 키를 사지 않으면 사실상 복구가 불가능하다. 이로 인해 일부 복구업체는 해커에게 돈을 주고 복호화 키를 산 뒤 비싼 값에 피해자에게 되팔기도 한다.

보안업계는 한 번 감염되면 피해를 막기 어려운 만큼 예방이 최선이라고 말한다.

업계 관계자는 "최선의 대응책은 수시 백업"이라며 "외장 하드나 클라우드 서비스를 이용해 자주 백업을 하고, 수상한 첨부 파일은 열어보지 않는 등 파일 공유에 처음부터 주의를 기울여야 한다"고 조언했다.

okko@yna.co.kr

<저작권자(c)연합뉴스. 무단전재-재배포금지.>