기업 중앙서버까지 노리는 랜섬웨어… 복구비용도 비트코인으로 요구

  • 동아일보
  • 입력 2019년 7월 20일 03시 00분


코멘트

2017년 ‘워너크라이’라는 이름의 랜섬웨어가 세상을 휩쓸었다. 랜섬웨어는 인질의 몸값을 뜻하는 랜섬(ransom)과 소프트웨어를 결합한 단어로, 피해자 컴퓨터에 저장된 파일을 사용할 수 없도록 암호화한 뒤, 돈을 받고 이를 풀어주는(복호화) 방식의 해킹을 말한다. 워너크라이는 전 세계 150개 국가, 30만 대의 기기를 감염시키며 랜섬웨어를 사람들의 머릿속에 각인시켰다. 특히 단순한 파일 유출, 혹은 컴퓨터를 ‘먹통’으로 만드는 게 아니라 돈을 내면 다시 풀어준다는 ‘희망고문’ 때문에 가장 악질적인 해킹으로 꼽힌다.

2년이 지난 지금, 랜섬웨어는 더욱 진화하고 있다. 랜섬웨어에 대비한 백업파일까지 찾아내 삭제해 버린다거나, 단순한 개별 PC가 아닌 기업의 중앙 서버를 노리고 있다. 공격력이 한층 강해진 이들 랜섬웨어의 공통점은 개인보다 기업, 기관을 표적으로 삼는다는 점이다.

백업 데이터까지 삭제하며 피해자의 방어태세를 무력화하는 랜섬웨어는 4월부터 본격적인 활동을 벌이는 ‘소디노키비’가 대표적이다. 한국에선 주로 법원이나 배송정보 안내 등의 메일로 위장해 뿌려지고 있다. 한글문서 등 파일을 암호화해 버리거나 PC를 절대 복구할 수 없도록 컴퓨터 내 자동으로 저장되는 ‘섀도백업’ 데이터를 삭제해버린다.

최근 보안업계에서 긴급 주의보가 내려진 ‘클롭’ 랜섬웨어는 감염 컴퓨터에 연결된 기업, 기관의 서버를 노린다. 보안업체 안랩에 따르면 클롭은 기업의 자원관리 목적으로 사용되는 서버(AD서버)에 연결된 컴퓨터라는 점이 확인되면 잠복해 있다가 내부 전파 과정을 거쳐 서버에 도달하는 것으로 분석했다. 한챵규 안랩시큐리티대응센터장은 “AD서버는 그 편의성만큼 권한을 탈취당했을 때 피해가 크다”고 설명했다.

지난해 1월 첫 활동을 시작한 ‘갠드크랩’은 최근까지 가장 맹위를 떨친 랜섬웨어로 꼽힌다. 안랩에 따르면 갠드크랩은 올 상반기 유포된 랜섬웨어 중 67%의 비중을 차지하는 것으로 나타났다. 지난달 갠드크랩 집단이 다크웹에서 “총 20억 달러의 수익을 올려 활동을 중단한다”고 발표한 바 있다. 하지만 보안업계에선 갠드크랩 조직이 소디노키비를 새로 개발해 수익을 내고 있는 것으로 보고 있다. 문종현 이스트시큐리티 이사는 “소디노키비 랜섬웨어가 공격방식, 코드 등 여러 면에서 갠드크랩 랜섬웨어와 유사한 형태를 띠고 있다”고 말했다.

이런 랜섬웨어를 유포하는 건 누굴까. 당연히 오리무중이다. 수년 전부터는 비용도 비트코인으로 받고 있어 추적이 매우 어렵다. 대개 PC 1대당 수십만 원에서 수백만 원 규모다. 북한, 러시아, 인도, 중국 등을 진원지로 꼽는 경우가 많다. 하지만 2017년 말 미국이 워너크라이의 배후를 북한이라고 공식 지목했을 때 현지 보안업체 사이버리즌 등 많은 전문가가 “증거 없는 억측”이라고 반박했다.

때론 ‘핵티비스트’(해킹을 통한 투쟁을 자처하는 집단) 특유의 낭만적인 면도 드러낸다. 갠드크랩 집단이 시리아의 한 피해자가 PC에 저장된 죽은 아들의 사진을 볼 수 없게 됐다는 사연을 접하고 무료로 복호화해 준 경우가 대표적 사례다. 하지만 기업, 기관에는 더없이 냉정하다. 결국 착실히 소프트웨어를 업데이트하고 백신 설치를 소홀히 하지 않으며 e메일 열람 시 신중을 기하는 것밖에는 답이 없다. 보안업계 관계자는 “실제 대기업들은 의심할 만한 e메일을 보내 직원들이 함부로 열어보는지를 파악하는 일종의 테스트를 진행하는 등 보안의식 고취에 나서고 있다”고 말했다.

황태호 기자 taeho@donga.com
#랜섬웨어#워너크라이#소디노키비#갠드크랩#보안#데이터#백신#해킹
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스