메뉴바로가기본문바로가기

동아사이언스

내 PC를 인질로 협박하는 사이버 테러 ‘랜섬웨어’

통합검색

내 PC를 인질로 협박하는 사이버 테러 ‘랜섬웨어’

2016.06.17 10:00

요즘 인터넷 뉴스에 ‘랜섬웨어’란 말 많이 나오죠? 랜섬웨어란 돈을 요구하며 사용자의 데이터 접근을 막는 새로운 방식의 악성코드인데요. 사이버 상에서 랜섬웨어가 큰 문제로 떠오르고 있습니다. 뽐뿌와 클리앙 같은 국내 커뮤니티를 연이어 강타한 사건 외에도, 기업이나 병원, 학교를 노린 랜섬웨어의 공격이 빈번해지고 있습니다. 회사 업무를 위한 중요한 정보, 또는 수년간 쌓아온 나의 소중한 추억이 한 순간에 송두리째 날아갈 수 있다니 생각만 해도 아찔합니다. PC, 스마트폰, 태블릿 등 다양한 기기에서 인터넷 활용도는 갈수록 커지기 때문에 랜섬웨어의 위협은 더욱 두렵게 느껴지는데요. 랜섬웨어가 왜 위협적이며, 이러한 악성코드로부터 내 PC를 지킬 수 있는 방법은 무엇인지 살펴보겠습니다.

 


데이터를 볼모로 한 사이버 인질극


랜섬웨어는 인질을 뜻하는 ‘ransome’과 악성 소프트웨어를 뜻하는 ‘malware’의 합성어입니다. 한 마디로 해커가 사용자의 PC에 침투해 중요한 데이터를 볼모삼아 돈을 요구하는 방식의 악성 소프트웨어를 말합니다. 랜섬웨어에 감염된 PC는 각종 문서와 이미지 파일이 모두 암호화된 채 사용자 접근이 차단돼 손을 쓰지 못하게 되죠.


그동안 발견된 악성 코드들은 해커들이 자신의 컴퓨터 실력을 자랑하거나 괴롭히려는 순수한 악의(?)로 인해 만들어진 것이 대부분이었습니다. 하지만 랜섬웨어는 돈을 목적으로 짜여진다는 점에서 사뭇 다르죠. 랜섬웨어는 개인 뿐 아니라 데이터가 중요한 병원이나 학교, 일반 기업을 상대로도 공격을 가하고 있습니다. 보안 소프트웨어 업체 시만텍에 따르면 지난해 국내에서 발견된 랜섬웨어 공격은 약 4400건에 달합니다.


최근에 인터넷 커뮤니티를 자주 방문하던 사용자들은 랜섬웨어 때문에 홍역을 치렀는데요. 지난해 ‘클리앙’ 커뮤니티를 통해 랜섬웨어가 대량 배포된 데 이어, 이달에는 ‘뽐뿌’ 커뮤니티를 통해 랜섬웨어가 또 다시 기승을 부리고 있습니다.

 

최근 랜섬웨어가 유명 커뮤니티나 대형 병원, 대학, 기업 등에 침투해 데이터를 볼모로 돈을 요구하는 일이 발생하고 있습니다. - iStock 제공
최근 랜섬웨어가 유명 커뮤니티나 대형 병원, 대학, 기업 등에 침투해 데이터를 볼모로 돈을 요구하는 일이 발생하고 있습니다. - GIB 제공

 

랜섬웨어에 걸리면 어떤 일이 벌어지나


랜섬웨어가 PC에 침투하면 어떻게 될까요? 일단 사용자가 모든 데이터 파일을 열지 못하도록 확장자가 이상하게 바뀝니다. 업무용 자료이든, 개인적인 추억이 담긴 파일이든 간에 타격이 엄청나겠죠. 저장돼 있던 백업 파일마저도 암호화해 파일을 복구할 수 없도록 만듭니다.


그리고 이 암호를 풀어주는 대가로 일정의 금액을 달라는 해커의 메시지가 뜹니다. 100만~200만 원의 돈을 요구하는데요. 이때 비트코인이라는 사이버 화폐로 지불하기를 요구합니다(☞수학으로 만든 화폐, 비트코인!). 랜섬웨어를 배포하는 해커들은 주로 러시아 출신 해커들로 알려졌는데, 중요한 것은 한국어로 메시지를 남기며 한국을 타겟으로 한 공격이 급증하고 있다는 사실입니다.


랜섬웨어에 걸렸다면 선택할 수 있는 것은, 해커에게 돈을 주거나 데이터를 포기하거나, 제3의 업체에게 복구를 맡기는 것입니다. 해커가 요구하는 금액은 터무니없을 뿐더러, 설령 대가를 지불했다고 하더라도 암호를 풀어줄지 장담하기 힘듭니다. 또 아직까지는 랜섬웨어 데이터 복구 업체들도 비용을 요구하는만큼 데이터를 전부 복구하지 못하는 경우가 많기 때문에, 사용자는 울며 겨자먹기로 데이터를 포기하는 경우가 많습니다.

 

랜섬웨어는 추적이 불가능한 사이버 화폐 ‘비트코인’을 데이터의 몸값 지불 수단으로 요구하곤 합니다. 최근 1비트코인의 시세가 80만원 대 후반으로 폭등했습니다. - pixabay 제공
랜섬웨어는 추적이 불가능한 사이버 화폐 ‘비트코인’을 데이터의 몸값 지불 수단으로 요구하곤 합니다. 최근 1비트코인의 시세가 80만원 대 후반으로 폭등했습니다. - pixabay 제공

클리앙과 뽐뿌의 감염 경로는 바로 ‘광고’


그렇다면 뽐뿌나 클리앙 같이 많은 네티즌이 오가는 국내 커뮤니티가 랜섬웨어 확산의 진원지가 된 원인은 무엇일까요? 이번에 등장한 랜섬웨어는 '크립트(CryptXXX)'로서 배너 광고에 심어져 확산됐는데요. 이번 랜섬웨어는 사용자가 파일을 다운받거나 클릭하지 않고도 배너 플래시가 띄워진 웹사이트에 접속한 것만으로 감염되는 ‘드라이브 바이 다운로드’ 방식의 악성코드였습니다. 과거의 악성코드들에 비해 더욱 무서운 공격력이죠. 


인터넷 커뮤니티는 대개 광고를 올려서 서버 유지비를 마련하는데요. 아무래도 전문적인 상업 사이트가 아니기 때문에 호스팅 서버 보안에 최신 대응책을 갖고 있지 않으며, 보안이 인증되지 않은 소규모 광고를 붙이는 경우가 많습니다. 이러한 보안 허점을 노리고 해커들이 접근한 것이죠.


커뮤니티 사용자 역시 구 버전의 익스플로러나 플래시 플레이어를 사용할 경우 공격당하기가 더욱 쉽습니다. 이렇게 광고를 통해 악성 코드를 전파하는 방식을 멀버타이징(Malvertising)이라고 부릅니다. 구글이 지난해 악성 코드가 포함된 7억8000만 개의 광고를 차단할 정도로 멀버타이징이 빠르게 확산되고 있습니다.

 

뽐뿌 사이트는 6월초 발생한 랜섬웨어 유포 사건에 대해 이번 랜섬웨어가 크립트 코드로 약 46종이며, 구글 하위 광고플랫폼 중 하나인 오픈X(OpenX)를 통해 유포됐다고 밝혔습니다. - 뽐뿌 사이트 캡처 제공
뽐뿌 사이트는 6월초 발생한 랜섬웨어 유포 사건에 대해 이번 랜섬웨어가 크립트 코드로 약 46종이며, 구글 하위 광고플랫폼 중 하나인 오픈X(OpenX)를 통해 유포됐다고 밝혔습니다. - 뽐뿌 사이트 캡처 제공

맥OS, 스마트폰, 스마트TV까지 다 뚫렸다


랜섬웨어가 첫 등장한 것은 2005년. 십여년이 지난 지금 놀라운 속도로 진화하고 있다는 것인데요. 최근에는 윈도우에 비해 비교적 안전하다고 알려진 맥 OS에도 랜섬웨어가 공격을 시도했다고 밝혀져 놀라움을 주고 있습니다.


애플용 토렌트 프로그램인 트랜스미션의 ‘비트토렌토(BitTorrent)’ 최신 버전에 해커들이 ‘키레인저(KeRanger)’라는 랜섬웨어를 심어놓은 것인데요. 해커들은 파일 복구 비용으로 약 400달러(한화 약 47만원)의 비트코인을 요구했습니다. 애플은 이에 자체 보안 프로그램을 업데이트하고, 트랜스미션도 랜섬웨어에 감염된 버전을 삭제하고 관련 내용을 업데이트한 새로운 버전을 배포하며 즉각적으로 대응에 나섰습니다. 


또 안드로이드 기반의 스마트폰이나 태블릿, 스마트TV까지 비상이 걸렸습니다. 스마트폰도 랜섬웨어에 노출됐을 뿐 아니라, 해외에서는 스마트TV의 감염사례도 보고되고 있습니다. 랜섬웨어가 스마트TV의 안드로이드 OS에 침투해 시스템을 잠근 뒤, 아이튠즈 기프트 카드를 대가로 요구했습니다. 보안 전문가들은 스마트폰과 이를 연결한 스마트워치와 같은 웨어러블 기기의 감염도 시간문제로 내다보고 있습니다.

 

랜섬웨어가 스마트폰을 공격(왼쪽)한 데 이어, 최근 일본에서 ‘에프로커’(FLocker) 랜섬웨어가 스마트TV를 감염시킨 사례가 발생했습니다. - 트렌드마이크로 제공
랜섬웨어가 스마트폰을 공격(왼쪽)한 데 이어, 최근 일본에서 ‘에프로커’(FLocker) 랜섬웨어가 스마트TV를 감염시킨 사례가 발생했습니다. - 트렌드마이크로 제공

결국 가장 중요한 건 예방법!


결국 랜섬웨어로부터 내 PC와 데이터를 보호하기 위해서는 예방이 가장 중요하다는 말은 식상해도 어쩔 수 없습니다. 평소 안전한 PC 사용을 위해 다음의 7가지 수칙을 제안합니다.


1. 중요한 데이터는 이중 삼중으로 백업하라. 정말로 데이터를 안전하게 보관하려면, 단 하나의 백업이 아니라 D드라이브, 외장하드, 클라우드 등 다양한 곳에 데이터를 중복해서 백업하는 게 좋습니다.


2. 악성코드 차단 소프트웨어를 구동하라. 악성코드를 차단하고 치료하는 백신을 업데이트하고, 컴퓨터를 정기적으로 스캔하는지 체크합니다. 수많은 악성코드로부터 감염의 위험을 줄일 수 있겠죠.


3. 운영체제와 인터넷 브라우저의 최신 패치를 확인하라. 마이크로소프트 오피스, 어도비 플래시 플레이어, 자바와 같은 응용 프로그램은 최신 상태로 유지하는 게 좋습니다. 시스템의 취약점이 악용될 소지가 줄어듭니다.


4. 컴퓨터가 갑자기 의심스럽게 작동할 경우 인터넷을 바로 차단하라. 컴퓨터가 갑자기 이상하게 작동하거나 의심스러운 프로세스를 실행할 경우, 인터넷 접속을 끊고 전문가에게 문의하도록 합니다. 대부분 랜섬웨어로 공격하는 해커는 작업을 완료하기 위해 인터넷 접속을 필요로 합니다.


5. 의심스러운 이메일을 열지 말라. 기본적으로 출처가 분명하지 않거나 낯선 발신자로부터 전송된 이메일은 첨부 파일이나 특정 파일을 여는 것은 가장 경계해야 할 일입니다. 요즘에는 exe파일 외에도 pdf, doc, scr 파일에도 악성코드가 딸려서 오는 경우가 다반사입니다. 이와 함께 알 수 없는 링크를 클릭하는 것도 조심하세요.


6. 방문하는 웹 사이트를 주의하라. 앞에서 설명했듯이 국내 인터넷 커뮤니티를 통해 전파된 랜섬웨어는 단지 사이트 방문만으로 자동으로 감염시킨 ‘드라이브 바이 다운로드’ 방식의 악성코드였습니다. 따라서 방문하는 사이트의 운영진이 지속적인 보안 점검과 모니터링을 실시하는지 신뢰성을 체크하기를 권합니다. 맥아피 웹어드바이저와 같은 프로그램을 통해 안전한 사이트를 검색하는 것도 도움이 되겠죠.


7. 걱정된다면 웹 브라우저의 플래시를 차단하라. 플래시와 익스플로러의 취약점을 간파해 광고로 유포되는 랜섬웨어를 막기 위해 플래시를 아예 차단하는 방법도 생각할 수 있습니다. 크롬이나 익스플로러 모두 자체적으로 플래시 차단 기능이 있기 때문에 각각의 도구, 추가 기능에 들어가서 플래시 사용을 끄면 됩니다.

 

필자가 사용하는 크롬 브라우저에서 플래시를 차단해봤습니다.
필자가 사용하는 크롬 브라우저에서 플래시를 차단해봤습니다. '설정-고급 설정 표시-콘텐츠 설정'에 들어가서 '플러그인' 메뉴의 '플러그인 콘텐츠 실행시기를 선택해주세요.'를 클릭합니다. - 이종림 제공

 

그러면 플래시가 포함된 페이지를 열 때마다 퍼즐 그림이 나타납니다. 오른쪽 마우스를 클릭하면 선택적으로 플러그인을 실행할 수 있습니다 - 이종림 제공
그러면 플래시가 포함된 페이지를 열 때마다 퍼즐 그림이 나타납니다. 오른쪽 마우스를 클릭하면 선택적으로 플러그인을 실행할 수 있습니다 - 이종림 제공

※ 필자소개
이종림. IT전문지 마이크로소프트웨어와 과학동아에서 기자로 일했다. 최신 IT기기, 게임, 사진, 음악, 고양이 등에 관심이 많다. TV프로그램 E채널 ‘용감한 기자들’에서 화제 연구 담당 기자로 출연 중이다.  


※ 출처 및 참고
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
http://blog.trendmicro.com/trendlabs-security-intelligence/flocker-ransomware-crosses-smart-tv/
http://www.pcworld.com/article/2084002/how-to-rescue-your-pc-from-ransomware.html
http://www.bbc.com/news/technology-36459022

이 기사가 괜찮으셨나요? 메일로 더 많은 기사를 받아보세요!

댓글 0

6 + 1 = 새로고침
###
    과학기술과 관련된 분야에서 소개할 만한 재미있는 이야기, 고발 소재 등이 있으면 주저하지 마시고, 알려주세요. 제보하기

    관련 태그 뉴스