12일(현지시간) 유럽을 중심으로 유포된 ‘워나크라이’(WannaCry) 랜섬웨어, 다행히 우리나라는 직격탄을 피했지만 영화관 광고 서버, 버스 도착 알림 서비스 등 일부 서비스가 정지되는 피해를 입었다. 일부 기업과 개인 PC도 감염돼 정상파일을 열지 못해 발을 동동 굴러야만 했다.
몸값(Ransom)과 소프트웨어(Software)의 합성어인 랜섬웨어는 악성 해커가 피해자 컴퓨터의 저장된 파일을 암호화 한 후 암호해제를 조건으로 금전을 요구하는 공격이다. 공격을 받은 이후 백신 프로그램으로 랜섬웨어를 삭제해도 이미 탈취된 파일의 암호를 해제할 수 없기 때문에 피해자는 ‘울며 겨자먹기’로 해커에게 금전을 지급해야 한다. 하지만 해커가 금전만 제공받고 파일 복구 조치를 취하지 않는 경우가 많다. 특히 이들이 훼손한 파일은 복구하기 매우 어려워 그 피해 역시 크다.
◇개인도 공격대상…인터넷 접속만으로도 감염돼= 1989년 처음 출현한 랜섬웨어가 본격적인 위협이 된 것은 2013년 ‘크립토락커’(CryptoLocker) 랜섬웨어 등장 이후다. 기존 랜섬웨어는 암호화가 복잡하지 않아 대부분의 파일을 복호화 기술로 복구할 수 있었다.
하지만 크립토락커는 강력한 암호기술로 피해자의 PC 및 파일을 볼모로 잡은 뒤 해제 조건으로 ‘비트코인’을 요구했다. 비트코인은 기존 화폐에 비해 익명성이 강해 추적이 쉽지 않다. 공격자들은 금전 취득 이후 수사기관의 추적을 따돌릴 수 있는 안전장치를 마련한 셈이다.
이후 랜섬웨어 공격은 더욱 치밀해졌을뿐 아니라 피해범위도 확산됐다. 지난해 2월 랜섬웨어 공격을 받은 미국 할리우드장로병원이 열흘간 의료시스템에 접속하지 못해 결국 공격자에게 1만7000달러를 지급하고 시스템을 복구한 것이 대표적 사례다.
과거 이메일 첨부파일, P2P 사이트 등을 통해 악성 프로그램을 특정 사용자 PC에 감염시키는 방식에서 벗어나 지난해부터는 인터넷 프로토콜을 활용해 불특정 다수를 공격하는 랜섬웨어가 기승을 부리고 있다. 이 공격은 인터넷 접속만으로도 감염이 이뤄진다. 이를 통해 다수의 감염자를 확보한 공격자는 수백 달러 수준의 상대적으로 낮은 금전을 요구하는 ‘박리다매’형 금전 갈취을 이어가고 있다.
이스트소프트가 발표한 ‘2016년 랜섬웨어 동향 결산’에 따르면 지난해 ‘알약’을 통해 사전 차단된 랜섬웨어 공격이 397만4658건에 달한 것 역시 인터넷 프로토콜을 활용한 광범위한 공격 때문인 것으로 보인다. 한국인터넷진흥원(KISA) 또한 ‘1분기 사이버 위협 동향 보고서’를 통해 국내 악성코드 가운데 랜섬웨어가 44%로 1위를 차지했고, 관련 민원 피해도 증가하고 있다고 밝혔다.
이번 전세계 사이버 대란의 주인공인 워나크라이 역시 윈도 파일 공유 네트워크인 SMB 프로토콜을 통해 악성 프로그램을 불특정 다수 PC에 심었다. 3월 14일 해당 SMB 취약점을 보완하는 패치가 나왔지만 아직 윈도 업데이트를 하지 않은 PC는 모두 감염 대상이 될 수 있다. 단 이틀 만에 전 세계 150여 국가에서 수십만 건의 공격이 진행된 것도 운영체제의 심각한 취약점을 제대로 공략한 탓이다.
문제는 공격자가 해당 파일, 혹은 PC의 암호화뿐 아니라 해당 파일을 열람할 수 있는 권한까지 갖고 있다는데 있다. 기업의 주요 문서나 개인의 사생활이 담긴 이미지, 영상을 공격자가 확보할 수 있다. 이에 따른 2차 피해도 이어질 수 있다.
◇스마트폰·IoT도 위험…몸값요구 넘어 테러 확산 우려= 불특정 다수에 대한 랜섬웨어 공격은 현재까지는 윈도 기반 PC에만 이어지고 있다. 스마트폰 등 다른 기기에서는 출처가 불분명한 애플리케이션(앱)을 통한 간헐적 공격만 이어지고 있다. 한국인터넷진흥원(KISA) 관계자는 “아직 스마트폰에서 인터넷 프로토콜을 활용한 공격에 대한 취약점은 발견되지 않았다”고 설명했다.
하지만 전문가들은 모바일 사용자들을 겨냥한 랜섬웨어의 위협이 안심할 단계를 넘어섰다고 경고한다. OS의 보안 취약점 문제를 해결하는 소프트웨어 업데이트 전에 틈새를 찾아 침투하는 ‘제로데이’ 공격에 안드로이드 뿐 아니라 iOS까지 뚫린 사례가 있기 때문이다. KISA 관계자는 “취약점이 없다는 것과 발견되지 않았다는 것은 다른 의미”라며 “스마트폰 역시 보안 소프트웨어를 최신 버전으로 업데이트해야 한다”고 조언했다.
스마트폰으로 랜섬웨어 공격이 확장되면 피해자는 자신의 폰카로 찍은 이미지와 영상, 메신저 등을 통해 주고받은 대화내용까지 공격자에게 탈취당할 수 있다. 사실상 사생활 정보가 모두 공격자에게 넘어가는 셈이다. 이로 인한 개인의 민감한 정보 유출이 우려된다.
다수의 사물이 인터넷에 연결되는 IoT(사물인터넷) 세상에서는 랜섬웨어로 인한 피해가 더욱 커질 것으로 보인다. 이미 자율주행차의 브레이크 및 시동을 제어하는 랜섬웨어도 등장했다. 단순히 파일 이용이 제한된 PC 기반 랜섬웨어와 달리 피해자의 생명까지 위협할 수 있다.
만일 자율주행차가 공격을 받을 경우, 운전 중 브레이크 고장 및 속도제어, 목적지 변경을 통한 납치 등의 피해가 발생할 수 있다. 의료기기의 오작동 역시 피해자의 생명과 직결된다. 가정내 가전 기구의 오작동, 전기사용량 조정 등 일상 곳곳에 자리를 잡아가고 있는 IoT 기기들이 모두 공격의 대상이 될 수 있다. 파일을 볼모로 몸값을 요구해온 랜섬웨어가 앞으로는 피해자의 생명까지 볼모로 잡고 위협을 가하는 진짜 ‘인질극’으로 확대될 수 있다.
보안 업계의 한 관계자는 “최근 워나크라이 변종 파일이 300개에 달하는 만큼 언제든 제2의 사이버 대란이 일어날 가능성을 배제할 수 없다”며 “2차 공격에서도 피해를 줄이려면 보안 패치 업데이트, 주요 파일 백업 등 PC 이용자 개개인의 대응책 마련이 이뤄져야 한다”고 경고했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]