<10문10답 뉴스 깊이보기>세계를 공포에 몰아넣은 ‘랜섬웨어’… 첨부파일 없이 인터넷 연결만으로 감염 ‘치명적 진화’

클릭하시면 더 큰이미지를 보실 수 있습니다 전 세계적으로 랜섬웨어 ‘워너크라이’ 피해가 확산한 가운데 지난 15일 서울 송파구 한국인터넷진흥원 종합상황실에서 직원들이 관련 상황을 모니터링하고 있다. 연합뉴스

은행계좌정보 등 담긴 스마트폰 공격땐 피해 ‘눈덩이’

영국 국가의료보건서비스(NHS) 소속 병원 등 48개 기관, 미국 배송업체 페덱스, 러시아 내무부, 프랑스 르노 공장, 독일 국영철도회사 도이체반, 중국 석유천연가스집단(CNPC)….

지난 12일 등장해 전 세계를 공포의 도가니로 몰고 간 랜섬웨어(Ransomware) ‘워너크라이(WannaCry)’는 150개국 30만 대 컴퓨터에 피해를 줬다. 랜섬웨어 가운데 처음으로 윈도(Windows) 운영체제(OS) 보안 취약점을 노려 네트워크를 통해 감염이 확산하는 특성 때문에 워너크라이로 인한 피해가 컸다. 랜섬웨어가 더는 탁상 위 컴퓨터만 노리는 게 아니라 나보다 나를 더 많이 안다는 ‘스마트폰’이나 생활 속 편리함을 더해주는 ‘사물인터넷(IoT)’을 공격 대상으로 삼을 수 있는 만큼 각별한 대비가 필요하다. 워너크라이 확산 사건을 계기로 랜섬웨어에 대해 자세히 알아본다.

1. 랜섬웨어란 무엇인가

인질의 몸값을 뜻하는 ‘랜섬(ransom)’과 악성코드의 뜻을 지닌 ‘멀웨어(malware)’의 합성어다. 또는 랜섬과 소프트웨어(software)의 합성어라고 보기도 한다. 멀웨어가 악성 소프트웨어(malicious software)를 뜻하기 때문이다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 해서 인질로 잡고 금품을 요구하는 악성 프로그램이다. 2005년부터 본격적으로 알려지기 시작해 역사는 10년이 넘을 정도로 꽤 길다. 하지만 본격적으로 성행한 것은 2015년 이후부터다. 초기에는 암호화 수준이 낮아 복호화(復號化) 방법을 통해 쉽게 데이터를 복구할 수 있었으나 최근에는 기술이 고도화된 다양한 랜섬웨어가 등장해 퍼져 있다.

2. 랜섬웨어 종류는

지난해 2월 처음 등장한 ‘로키(Locky)’는 스팸메일 유포로 유명한 드라이덱스 봇넷을 통해 유포된 랜섬웨어다. 초기 문서 파일(doc)을 첨부한 형태로 유포되다 3월 이후 압축파일(zip) 형태 파일로 변경됐다. 지난해 3월 등장한 ‘케르베르(Cerber)’도 있다. 케르베르는 파일을 암호화한 후 이 사실을 음성으로 알려준다는 특징이 있다. 버전이 계속 수정되면서 ‘서비스형 랜섬웨어(RaaS·Ransomware as a Service)’로 많이 유포됐다.

‘크립트XXX(CryptXXX)’는 2016년 6월 국내 스마트폰 관련 커뮤니티에서 멀버타이징(광고를 변조해 악성코드를 유포하는 행위)으로 다량 유포됐다. 2016년 초부터 활발하게 활동했던 ‘테슬라크립트’가 같은 해 5월 중순 갑자기 활동을 멈춘 뒤 새롭게 등장한 것이 크립트XXX다.

이번에 전 세계를 공포로 몰아넣었던 ‘워너크라이’도 랜섬웨어의 한 종류다. 워너크라이는 지난 12일에 배포되기 시작해 순식간에 전 세계 150개국으로 확산됐다. 워너크라이가 마이크로소프트(MS)의 윈도 OS를 노렸다면 올 1월 발견된 ‘킬디스크(KillDisk)’는 리눅스 데이터를 삭제한다. ‘독스웨어(Doxware)’는 데이터 암호화로 돈을 요구하는 게 아니라 데이터에서 사진, 이메일 등 개인정보를 탈취해 온라인 등에 공개하겠다고 협박한다.

3. 워너크라이의 특징은

윈도의 보안 취약점을 노린 해킹 기법은 많지만, 랜섬웨어 가운데 이를 노린 것은 워너크라이가 처음이다. 랜(LAN)이나 컴퓨터 사이 통신에서 데이터 송수신을 하기 위한 프로토콜인 윈도 SMB(server message block)의 취약점을 노렸다. 단순하게 설명하면 윈도를 쓰는 컴퓨터 네트워크 그룹에서 각 컴퓨터마다 연결 통로 역할을 하는 곳의 보안 취약점을 노린 것으로 이해하면 쉽다. 기존 랜섬웨어가 첨부파일을 열어야 감염됐다면 워너크라이는 인터넷에 연결돼 있으면 감염된다.

이렇다 보니 네트워크 사이에서 전염된다는 것이 또 다른 특징이다. 악성코드 스스로 자기 복제를 해 네트워크 망을 통해 다른 시스템까지 감염시키는 네트워크 웜의 특성이 있는 것이다.

4. 누구를 노렸나

이번에 워너크라이를 이용한 공격은 전 세계 150여 개국에서 30만 건의 피해를 입혔다. 워너크라이가 노린 곳은 은행과 기업, 병원, 공장, 정부 기관 등에 집중됐다. 페덱스와 텔레포니카, 르노, 도이체반, 영국 NHS 산하 병원 등이 피해를 입었다. 특히 르노는 일부 공장 가동이 멈춰서면서 추가 피해를 우려해 두웨에 위치한 공장 가동을 자체 중단하기도 했다. NHS 산하 병원 40여 곳은 워너크라이 공격으로 예약 진료와 수술이 미뤄지는 소동이 벌어졌다. 중국도 국영석유기업 페트로차이나의 인터넷 결제 시스템이 멈추는 등 4만 개 기업이 피해를 봤다. 이처럼 워너크라이의 공격이 기업체에 집중된 것은 자료 복구를 요구해 몸값을 받는 데 목적을 두고 있는 탓이다. 실제로 미국 백악관 국토안보보좌관은 이번 워너크라이 공격으로 약 7만 달러가 사이버 공격범에게 몸값으로 지불됐다고 밝혔다. 하지만 몸값 지불에도 자료 복구가 이뤄진 사례는 없었다.

5. 누가 만들었나

이런 대규모 랜섬웨어 공격에 동원된 악성코드 워너크라이를 제작·유포한 배후에 대해서는 여러 가능성이 제기되고 있지만, 그중 가장 유력한 것은 해커그룹 ‘섀도 브로커스(Shadow Brokers)’다. 워너크라이는 MS 윈도 OS의 취약점을 악용해 제작된 랜섬웨어로 감염시 시스템과 자료가 암호화하며 이를 돌려주는 대가로 금전을 요구한다. MS 측은 워너크라이가 국가안보국(NSA)에서 유출된 해킹 프로그램을 응용했다고 밝혔다. 그리고 NSA에서 해킹 프로그램을 유출한 것이 바로 섀도 브로커스란 것이다. 섀도 브로커스는 지난 17일 블로그를 통해 자신들이 NSA 해킹 도구를 유출했으며 이 해킹 도구가 워너크라이 유포에 이용됐다고 주장했다. 심지어 섀도 브로커스는 이날 워너크라이 외에 새로운 해킹 도구와 소프트웨어 취약점을 확보하고 있다고 주장하기도 했다. 정보기술(IT) 보안업계 일각에서는 워너크라이에 사용된 코드 일부가 북한이 배후세력으로 지목된 해커그룹 ‘래저러스(Lazarus)’의 코드와 유사하다는 점을 바탕으로 워너크라이 제조·배포에 북한이 관여했다는 지적이 제기되기도 했으나 섀도 브로커스의 주장으로 설득력이 약해지고 있다.

6. 감염시 파일 살릴 방법은

랜섬웨어에 일단 감염되면 파일을 되살릴 방법은 없다고 봐야 한다. 백업 파일이 있다면 모르겠지만, 파일의 암호를 푼다는 것이 사실상 불가능하기 때문이다. 그렇다고 해서 만약 해커가 요구하는 대로 금품을 지급한다면 암호를 풀어줄까. 풀어준다는 보장은 없다. 장기적인 고객 관리 차원에서 해커들이 다음 범행 때도 돈을 받기 위해 암호를 풀어줄 수 있다는 말도 있지만, 이 같은 고도의 상술(?)로 암호를 풀어줬다는 사례가 확인된 바는 없다. 사이버 보안 업체 체크포인트에 따르면 워너크라이 관련 비트코인 계정 3개에 3만3000달러 이상이 누적됐지만 탈취된 파일을 돌려받았다는 사람은 한 명도 없었다. 체크포인트는 “다른 랜섬웨어의 경우 피해자의 고유 ID와 비트코인 지갑을 생성하기 때문에 누구에게 복호화 키를 보내야 할지 알게 되지만, 워너크라이는 돈을 지불한 뒤에도 계속 기다리라는 메시지뿐”이라고 지적했다.

7. 예방은 어떻게

랜섬웨어에 걸린 뒤에는 사실상 파일 복구가 어려운 만큼 예방에 신경을 써야 한다. 랜섬웨어는 대개 이메일이나 웹사이트, 파일 공유 사이트 등을 통해 전파된다. 따라서 출처가 불분명한 이메일 또는 첨부 파일을 여는 일은 금물이다. 파일 공유 사이트를 가급적 이용하지 않는 것이 좋지만, 이용한다면 다운로드 받은 파일이 생각보다 용량이 현저히 적을 경우에도 랜섬웨어 같은 악성코드의 가능성이 높은 만큼 주의해야 한다. 워너크라이는 파일이나 이메일을 열지 않고 네트워크 연결로도 감염될 수 있다. 이를 방지하기 위해서는 보안 프로그램을 업데이트를 통해 항상 최신 버전으로 유지하는 게 중요하다. 워너크라이도 MS가 지난 3월 배포한 보안 패치 프로그램을 받아 설치해 놨다면 걱정할 필요가 없는 랜섬웨어였다.

8. 랜섬웨어 성행 이유는

랜섬웨어는 2015년 하반기 이후 크게 성행하고 있다. 안랩이 지난 1월 낸 ‘최신 랜섬웨어 동향 분석 보고서’에 따르면 안랩 시큐리티대응센터가 자체 분석한 결과 2013년부터 2015년 사이 10여 종에 불과했던 랜섬웨어는 2016년에 업그레이드 버전을 포함해 160여 종에 달했다. 랜섬웨어가 성행하는 이유는 두말할 것 없이 ‘돈’ 때문이다. 스미싱 등 다른 전통적인 해킹 수법이 너무 많이 퍼지면서 해커들이 ‘수익성(?)’이 좋은 랜섬웨어 쪽으로 급격히 관심을 돌렸기 때문이란 분석도 있다.

무엇보다 RaaS처럼 비용만 지불하면 악성코드나 프로그래밍에 대한 전문 지식 없이도 랜섬웨어를 제작·유포할 수 있는 환경이 조성된 것도 랜섬웨어가 성행하게 된 배경이다. RaaS는 다크웹처럼 공개되지 않고 익명이 보장된 네트워크 상에서 거래된다. 안랩 보고서에 따르면 랜섬웨어인 미샤의 RaaS는 1주일당 수익이 5BTC(비트코인) 이하일 경우 수익의 25%를 제작자와 공유하지만 주당 수익이 125BTC 이상일 경우는 수익의 85%를 제작자와 분배토록 하고 있다.

9. 스마트폰·사물인터넷은 괜찮나

스마트폰도 충분히 감염될 수 있다. 백신업체 G데이터는 올 1분기 동안 75만4000여 개의 모바일 악성코드가 발견됐다고 밝혔다. 하루 8000개 이상의 모바일 악성코드가 만들어진 셈이다. 최근 스마트폰에 은행 계좌 정보, 비밀번호나 위치 정보 등 PC보다 더 핵심적인 개인 정보가 저장돼 있는 경우가 많아 모바일이 감염되면 더 큰 피해를 당할 수 있다. IoT 역시 언제든 공격 대상이 될 수 있다. IoT에 대한 공격 기술은 이미 많이 개발된 것으로 알려져 있다. 지난 2월 호주의 한 호텔은 객실 문 제어 시스템이 랜섬웨어에 감염돼 해커에게 금품을 지급하기도 했다. 위키리크스는 미국 중앙정보국(CIA)이 스마트TV를 통해 사용자들을 감시해 온 정황이 있으며, 자율주행차 해킹도 연구되고 있다고 폭로한 바 있다. 만약 자율주행차가 랜섬웨어에 감염된다면 인질이 파일 정도 수준에서 머무는 게 아니라 생명까지 위협받을 수도 있다.

10. 해커들이 요구한 비트코인은

워너크라이 공격을 가한 해커들은 몸값으로 300달러를 요구하면서 비트코인으로 지불할 것을 요구했다. 이들이 요구한 비트코인은 대표적인 가상화폐로 지난 2009년 사토시 나타모토라는 가명을 쓰는 프로그래머가 만들었다. 비트코인은 화폐처럼 사용이 가능하지만 물리적으로 만질 수는 없다. 비트코인 거래를 위해서는 숫자와 문자가 섞인 전자지갑이 필요한데 현재 600만 명이 사용 중이다. 해커들이 비트코인으로 요구한 것은 익명성이 보장되고 각국 사설 거래소를 통해 쉽게 거래가 가능하기 때문이다. 이 때문에 비트코인을 요구하는 범죄도 늘고 있다. 지난 5일 인도 IT 기업인 위프로는 화학 테러 협박과 함께 50억 루피(약 872억 원) 상당의 비트코인을 25일까지 지불하라는 협박을 받은 상태다. 지난달에는 브라질 중견 사업가의 부인을 납치한 범인들이 몸값으로 비트코인을 요구한 일도 벌어졌다. 현재 사용되는 비트코인 양은 1600만 개이며 개당 가격은 17일 기준으로 1807달러다. 비트코인 외에 이더리움과 대시, 라이트코인 등도 최근 들어 많이 사용되는 가상화폐다.

장석범·김석·박준희 기자 bum@munhwa.com