[IT용어] 최악이라 불리는 악성코드, 랜섬웨어

랜섬웨어= PC의 중요 파일을 암호화하고 복호화 대가로 몸값(Ransom)을 요구하는 악성코드.

비교적 근래에 등장한 신종 악성코드 같지만, 랜섬웨어의 개념은 이미 90년대 MS-Dos 시절에도 원시적인 형태로 존재해 왔습니다. 다만 지금처럼 파일을 암호화하고 돈을 요구하는 방식은 2010년도 이후부터인데, 여기에는 비트코인으로 대표되는 가상 화폐의 등장이 밀접한 관련성을 가집니다.

가상 화폐란 달러, 엔화 등의 실물 화폐와 달리, 특정 국가의 통제를 받지 않는 익명의 공간에서 개인 대 개인(P2P)의 투명한 금융 거래를 가능케 하는 미래형 화폐입니다. 금융 민주화를 꿈꾸던 사람들에 의해 창시됐지만, 비밀스러운 거래를 원하는 해커들에게 악용되며 현재는 화폐로서의 기능보다 검은돈, 투기의 대명사가 되고 맙니다. 

실제로 2013년 미국을 중심으로 유행한 랜섬웨어 '크립토락커'는, PC 수십만 대를 감염시키고 비트코인으로 100만 달러(한화 11-12억)가 넘는 몸값을 챙기며 랜섬웨어와 비트코인 결합의 시너지 효과를 증명했습니다. 이후 수많은 유사 랜섬웨어가 제작되고 있으며, 여기에 비트코인이 사실상 거래 표준으로 자리 잡으며 관리 주체가 없는 가상 화폐의 단점을 조명하기도 했습니다. 이로 인해 초창기 비트코인이 가지던 혁신적 이미지가 상당히 퇴색된 일은 실로 안타까운 일이 아닐 수 없습니다. 

(한국어 크립토락커에 감염된 PC화면, 출처=하우리)

그렇다면 비트코인은 해커들의 100% 안전한 거래를 책임지는 만능 화폐일까요? 그렇지 않습니다. 최근 보도되는 자료들에 따르면 비트코인도 조건부 계좌 추적이 가능합니다. 비트코인을 비롯한 가상 화폐는 '블록체인'으로 불리는 공개형 분산 장부를 기반으로 작동하는데, 이 블록체인 위에서는 아주 사소한 거래 내역까지 누구나 확인할 수 있습니다. 언제 얼마만큼의 화폐가 어떤 계좌로 송금됐는지 마음만 먹으면 알 수 있다는 뜻입니다. 이를 이용하면 해커의 계좌로 흘러 들어가는 비트코인(몸값)의 행방을 확인하고(여기까지는 익명인 탓에 해커의 신원을 특정할 수 없습니다), 해커가 거래소에서 현금으로 환전하는 순간부터 생성되는 현실 정보를 추적하는 방법입니다. 이 경우 해커는 애써 모은 비트코인을 현금화하지 못하고 보유만 해야 할 수도 있습니다. 즉, 돈이 되지 못하는 비트코인은 그 가치가 떨어지므로 이러한 추적 기법이 보편화 되면 랜섬웨어와 가상 화폐의 결합성을 낮추고, 나아가 랜섬웨어 근절에 상당한 영향을 끼칠 잠재력이 발생할 것으로 기대됩니다.

감염 경로

랜섬웨어의 감염 경로는 기존 악성코드와 별반 다르지 않습니다. 대표적으로 이메일 첨부파일에 랜섬웨어를 삽입한 후, 이를 실행하도록 유도하는 피싱형 수법이 있습니다. 이런 피싱은 보통 세간에 화제가 되는 사건, 성적인 호기심을 자극하는 주제의 제목으로 피해자의 관심을 끌기 때문에, 모든 악성코드 예방이 그렇듯 기본적으로 신뢰할 수 없는 사용자가 보낸 메일은 처음부터 열어보지 않는 것이 좋습니다. 

최근엔 의심받기 쉬운 .exe 실행 파일 대신, 링크를 삽입한 이미지, 문서 파일을 첨부해 보내는 경우도 있습니다. 이 경우, 별 의심 없이 파일을 열 가능성이 커지는데, 자세히 살펴보면 이중 확장자인 경우가 대다수입니다. 예를 들면 연예인.jpg.ink 같은 형태로 말이지요. 랜섬웨어를 유발하는 이 링크에 접속하게 되면 역시 손 쓸 틈도 없이 또 한 명의 피해자가 되고 마는 것입니다. 

(이중확장자가 포함된 압축 파일, 일반확장자.ink 형태인 것을 확인할 수 있다, 자료=이스트시큐리티)

또 아예 정해진 개인을 대상으로 접근하는 타겟형 공격도 점차 빈번히 이뤄지는 추세입니다. 이런 공격은 주로 개인정보가 유출된 일반인, 혹은 대중에게 잘 알려진 유명인이 주요 타겟이 되며, 이들의 평소 관심사 혹은 업무와 관련된 사항을 담은 이메일, SNS 메세지를 보내며 지능적으로 접근하는 방법입니다. 이른바 '스피어피싱'이라 부르는 수법으로, 보통 이들 메세지에도 교묘하게 위장된 랜섬웨어 링크가 삽입되어 있습니다. 이렇게 타겟화된 공격일수록 무심코 당할 위험성 더욱 높기 때문에, 신뢰할 수 없거나 내력을 알아보기 힘든 짧은 주소 형식은 가급적 함부로 열지 말아야 합니다. 

(실제 스피어피싱 메일, 유창한 한국어와 교묘한 이유로 실행을 유도한다, 자료=이스트시큐리티)

이밖에도 불법 복제 소프트웨어의 인증 크랙, 의심스러운 웹 사이트 접속, 어도비 플래시의 보안 허점과 문서 파일의 매크로를 활용한 방법 등 일반 악성코드가 유포되는 모든 방법이 랜섬웨어 확산에서도 통용됩니다. 

예외적으로 얼마 전 유행했던 랜섬웨어 워너크라이는, 특정 활동 없이 인터넷에 연결된 것만으로도 감염이 발생하는 특이한 확산 방식으로 전 세계를 혼란에 빠뜨리기도 했습니다. 다만 이는 당시 윈도 8.1 이하 운영체제의 SMB 프로토콜 취약점을 파고든 공격으로, 이보다 앞서 배포된 윈도 보안 업데이트를 진행한 PC의 경우 워너크라이에서 안전했습니다. 현재 관련 프로토콜을 막는 각종 방법과 패치, 백신 업데이트가 배포되며 당분간 유사한 공격이 발생할 확률은 낮아졌지만, 아직 공격에 활용되지 않은 또 다른 네트워크 허점이 있을 가능성도 배제할 수 없습니다. 따라서 운영체제, 백신 등에서 제공하는 각종 보안 업데이트는 미루지 말고 언제나 바로 설치하는 것이 최선의 예방 요령이라고 할 수 있겠습니다.

감염 증상

랜섬웨어는 일단 작동하면 사용자 모르게 빠른 속도로 PC 내 주요 파일을 암호화합니다. 이때 CPU와 메모리 사용률이 급격히 상승하는 증상을 보이기도 하는데, 보통 눈치채긴 어렵우므로 감염을 알아차리는 시점은 랜섬웨어가 바탕화면에 감염 경고를 띄우고 난 직후인 경우가 많습니다. 이 과정에서 이미지, 동영상, 문서 파일 등 사적이거나 업무에 관련된 파일이 최우선으로 암호화되며, 모든 작업이 끝난 PC는 몸값 지불을 위한 최소한의 작동만이 가능한 수준으로 전락합니다. 이 시점에서는 일반적으로 악성코드 치료를 위해 사용되는 안전모드는 물론, 작업 관리자, 백신 등 대부분의 대응 방법이 봉쇄됩니다. 만약 랜섬웨어 치료에 성공한다고 하더라도 암호화된 파일은 그대로 남아있기 때문에 사실상 치료 의미는 없다고 보는 게 맞습니다. 또 암호화된 파일은 특유의 이상한 확장자(아무 의미 없는 문자 배열, 혹은 Fuck과 같은 비속어)를 가지므로 구분하기 어렵지 않습니다.

(워너크라이 감염 화면, 자료=이스트시큐리티)

감염 대상

주 감염 대상은 윈도우 운영체제 기반 PC입니다. 이는 철저히 수익을 위해 제작되는 랜섬웨어가 더 많은 감염자 확보, 몸값을 받을 확률을 높이기 위해 PC 운영체제 점유율이 가장 높은 윈도우를 제1목표로 삼는 탓입니다. 특히 윈도우 계열에서도 MS의 공식적인 보안 업데이트가 중단된 윈도 XP, 윈도우 비스타는 사실상 운영체제 허점을 노리고 들어오는 랜섬웨어 공격에는 무방비로 노출된 상태나 마찬가지입니다.

그렇다면 상대적으로 낮은 점유율을 가진 맥OS나 리눅스는 랜섬웨어에서 안전한 걸까요? 결코 아닙니다. 맥OS에서도 이미 작년에 첫 번째 랜섬웨어 공격이 보고됐습니다. 또 얼마 전 서버단의 대규모 랜섬웨어 감염으로 큰 이슈를 모은 웹 호스팅업체 '인터넷나야나'의 경우, 30대의 리눅스 서버가 원인도 모른 채 랜섬웨어 공격에 노출된 사건입니다. 당시 사용된 에레버스(Erebus) 랜섬웨어는 원래 윈도에서 작동하는 것으로 알려졌지만 여기에는 리눅스 운영체제를 공격하기 위해 개발된 변종이 사용된 것으로 확인됐습니다. 

모바일도 마찬가지 입니다. 스마트폰 운영체제 점유율의 약 8할을 차지하는 안드로이드에서도 이미 PC와 유사한 랜섬웨어들이 발견되고 있습니다만, 그 수는 PC에 비해 아직까지 상당히 적은 편입니다. 모바일 디바이스의 판매량, 사용 빈도는 이미 PC를 훨씬 추월했는데도 말이지요. 일각에서는 그 이유로 스마트폰은 '얻을 게 적은 탓'이라고 말합니다. 보통 스마트폰에서 중요한 자료라 하면 연락처, 사진, 동영상, 문서 정도를 꼽을 수 있는데, 요즘은 대부분 스마트폰이 클라우드 연동으로 랜섬웨어와 독립된 공간에 자료를 백업하므로 랜섬웨어의 위협성이 상대적으로 떨어진다는 분석입니다. 어느 정도 일리가 있는데요, 어쨌거나 확실한 건 해커의 마음 먹기에 따라 랜섬웨어는 언제 어디서든 운영체제를 가리지 않고 발생할 수 있다는 사실입니다.

(안드로이드 랜섬웨어 감염 화면, 워너크라이와 동일한 모습이다, 자료=이스트시큐리티)

치료

극소수의 경우를 제외하고 치료는 불가능합니다. 여기서 말하는 극소수란 연구에 의해 운 좋게 파훼법이 밝혀졌거나, 해당 랜섬웨어를 개발한 해커가 공격을 중단하며 해독키를 공개한 경우를 뜻합니다. 이렇게 치료법이 알려진 랜섬웨어는 국제 랜섬웨어 대응 협력단체인 '노모어랜섬(NoMoreRansom)'의 도움을 기대해볼 수 있습니다. 노모어랜섬은 많은 국가와 유명한 보안 업체들이 협력해 랜섬웨어 해독을 연구하고 알려진 치료 도구를 지원하는 단체입니다. 올해부터 한국어 지원을 시작해 국내 피해자들도 보다 손쉽게 도움받을 수 있게 됐습니다. 사이트에 접속 후 감염된 파일을 샘플로 업로드하고 이후 지시하는 절차를 따르면 됩니다.

안타깝지만 이외 랜섬웨어는 치료 및 복구가 어렵습니다. 보통 랜섬웨어 암호화에 사용되는 RSA-1024, AES-128같은 암호 체계는 개인이 풀 수 없는 고급 암호에 속합니다. 예를들어 AES-128와 같은 128비트 암호는 암호의 길이가 2의 128제곱임을 뜻하는데, 이런 암호는 현재 컴퓨터로도 해독에 수년의 시간이 소요됩니다. 미래에 상상할 수 없이 빠른 연산속도를 가진 양자 컴퓨터가 대중화되면 이런 암호도 무력화 될 것이라고 하지만, 사실상 현재 수준에서는 풀 수 없다고 보는 것이 맞습니다. 

결국 유일한 방법이 해커에게 몸값을 지불하는 것인데, 이마저도 확실한 건 아닙니다. 초기 랜섬웨어와 달리, 해커가 돈만 받고 키를 주지 않는 경우가 많아졌기 때문입니다. 애초에 랜섬웨어 같은 악성코드가 수익을 내기 위해선 돈만 주면 확실히 파일을 풀어준다는 신뢰 관계 구축이 필요합니다. 따라서 초기 랜섬웨어는 아예 고객 센터를 운영하듯이 착실한 응대로 사업(?)을 해오기도 했으나, 랜섬웨어가 대중화되고 해커들 사이에도 한탕주의가 만연하며 이른바 '먹튀 랜섬웨어' 비중이 점차 높아지고 있습니다. 

(사진=픽사베이)

최근에는 아예 RaaS(Ransomware as a Service), 서비스로서의 랜섬웨어란 뜻으로 아예 전문지식이 없거나 조악한 실력의 해커도 손쉽게 랜섬웨어를 제작할 수 있는 툴이 암암리에 거래되고 있는 형편입니다. 그리고 이렇게 만들어진 랜섬웨어에 해독키를 바라는 것은 누가 생각하더라도 무리수에 가까운 일입니다.

아주 간혹, 해커와 이메일을 통해 몸값을 협상하거나 자신의 사정을 설명해 가격을 깎거나 해독키를 받는 미담(?)도 전해지지만 우리가 복권에 당첨되지 않는 것처럼 이런 일은 기대하지 않는 것이 좋습니다. 또 랜섬웨어를 복구해준다며 홍보하는 많은 업체가 실상은 피해자를 대리해 해커에게 몸값을 거래하거나, 알려진 랜섬웨어 치료법을 적용하는 수준에 불과하다는 지적도 많습니다. 이 경우 본래 몸값에 업체 수수료까지 이중부담하게 되므로 복구 업체 이용은 별로 현명하지 않은 판단입니다. 

이로써 모든 걸 포기한다는 가정 아래 최후의 수단은 PC 포맷입니다. 이는 해커 입장에선 아쉬울 게 없어도 피해자에겐 뼈아픈 선택입니다. 다만, 앞서 말했듯 시간이 지나 여러 이유로 복호화 방법이 알려지는 랜섬웨어도 종종 있습니다. 따라서 당장 복구할 수 없다면 어딘가에 암호화된 파일을 보관했다가 언젠가 해독키가 공개됐을 때 복호화하는 것도 하나의 방법이 될 것입니다. 

이때 주의할 점은 랜섬웨어에 감염된 PC에 백업을 목적으로 함부로 외부 저장소를 연결했다간 이 저장소까지 감염되므로, 이 방법은 랜섬웨어가 치료된 상태거나(랜섬웨어가 삭제됐으나 암호화 파일은 남아있는 상태), 랜섬웨어가 영향을 끼칠 수 없는 웹 클라우드 저장소를 활용해야 합니다.

(외부 저장소, 적절한 관리만 이뤄진다면 가장 안전한 백업으로 여겨진다, 사진=픽사베이)

유일한 대항마, 백업

이쯤 하면 랜섬웨어를 정말 최악의, 가장 악랄한 악성코드라 부르지 않을 수 없습니다. 하지만 이런 랜섬웨어조차 무력화시킬 수 있는 유일한 존재가 있으니 바로 '백업'입니다. 랜섬웨어는 사용자에게 파일을 되팔아야 하는 입장이므로 데이터를 함부로 파괴하거나 하진 않습니다. 단지 사용할 수 없게끔 하는 것이지요. 이 말은 즉, 인질로 잡힌 파일이 중요하지 않은 데이터거나, 해당 파일을 대체할 완벽한 사본이 존재할 때 랜섬웨어의 협상력은 크게 하락한다는 의미입니다. 잃을 게 없는 상황에서 랜섬웨어에 감염됐다면 단순히 시스템을 포맷하고 재구축하는 수고만 감수하면 되기 때문입니다. 

따라서 평소에 중요하다고 생각되는 데이터는 PC, 클라우드 저장소, 독립된 물리적 외부 저장소(외장 하드, USB)등에 2-3중 백업을 해두는 것이 랜섬웨어에 대항하는 최선이자 유일한 대처 요령입니다. 백업 없이 랜섬웨어에 감염된다는 것은, 이미 해커와의 싸움에서 지고 들어가는 것과 다름없습니다. 그러나 가장 간단한 방법으로 가장 위험한 악성코드를 막을 수 있다는 사실 또한, 잊지 말아야 합니다.

(사진=픽사베이)

몸값, 과연 지불해야 하는가?

랜섬웨어가 유행처럼 번지기 시작한 후, 항상 따르는 논란거리가 있습니다. 과연 해커에게 몸값을 지불하는 것이 올바르냐 않느냐의 문제인데, 애초에 이 문제는 명확한 답을 구할 수 없는 논제입니다. 

반대하는 측에서는 우리가 랜섬웨어에 감염되더라도 결코 몸값을 주지 않아야 한다는 인식이 만들어져야 랜섬웨어가 자연적으로 근절될 것이란 논리를 펼칩니다. 기본적으로 랜섬웨어란 수익을 목적으로 만들어지는 만큼, 해커에게 그 핵심인 '돈'을 쥐여주지 않으면 시장 논리에 따라 스스로 사라지리라 보는 것인데, 일견 흠잡을 데 없는 주장인 듯합니다.

그러나 랜섬웨어에 감염된 피해자 각각의 사정은 모두 다르고, 이성적이지 못한 경우가 많습니다. 정말 별 거 아닌 파일이 인질로 잡히는가 하면, 업무상 중요 파일, 혹은 개인적으로 소중한 추억이 암호화되기도 합니다. 후자의 경우라면 대부분의 사람들이 큰돈을 내고서라도 파일을 다시 복구하고 싶을 수밖에 없습니다. 앞서 언급했던 인터넷나야나 역시 결국은 웹 호스팅업체로서 수많은 고객사가 자신들로 인해 폐업하는 최악의 사태를 막기 위해 부족한 자금에도 해커와 몸값을 협상했던 사건입니다. 만약 몸값을 거래하면 안 된다는 법적 근거가 생기더라도 과연 이들을 오롯이 비난할 수 있을까요? 쉽지 않을 것입니다. 

결국 몸값 거래의 정당성은 누군가 판단할 수 있는 게 아니라 개인의 가치관 혹은 피치못할 사정에 의해 선택되는 가변적 문제입니다. 오히려 비난받아야 마땅한 건 누군가의 소중한 자료를 인질로 금전적, 정신적 피해는 물론, 도의적 선택까지 하게 만드는 최악의 악성코드, 랜섬웨어가 아닐까요.