지난해 국내 랜섬웨어에 감염된 피해자가 13만명에 이르는 것으로 나타났다. 전체 피해 규모는 약 3000억원, 실제 해커에게 지급된 비트코인은 100억원대로 추정된다.
한국랜섬웨어침해대응센터(센터장 이형택)는 2일 `2017 랜섬웨어 침해분석 보고서`에서 신·변종 랜섬웨어에 의한 피해가 급증하고 침해가 장기화될 것으로 전망했다. 근본적 방어대책을 위해 해커와 거래 시 비트코인 송금을 신고제로 전환하고 데이터 백업도 법적 의무화 조치가 필요하다는 지적이다.
지난해 센터에 접수된 랜섬웨어 침해 신고는 3255건으로 전년대비 1.2배 늘었다. 랜섬웨어 종류도 8개에서 16가지로 2배 증가했다.
상반기에는 3윌 위장 이메일 방식으로 수천개 기업, 공공기관을 공격한 록키 랜섬웨어와 6월 현충일을 기점으로 대형 IT 커뮤니티를 숙주로 삼은 울트라크립트가 기승을 부렸다. 하반기는 록키 변종과 신종 케르베르 공격이 확대돼 전체 피해 80%를 차지했다. 큰 비중을 차지하던 테슬라크립트는 복호화 마스터키가 해커에 의해 공개되면서 6월 이후 피해가 사라졌다.
센터는 신고 접수된 피해와 여타 보안업체·정부기관 신고, 복구대행업체 의뢰 건수 등을 기준으로 지난해 피해자 규모를 13만명으로 추정했다. 피해자 중 최소 10%인 1만3000여명이 몸값을 지불해 100억원 이상 비트코인이 해커에게 지급됐다는 분석을 내놨다.
위장 이메일이 감염 비중 70% 이상을 차지하는 미국·유럽과 달리 국내는 인터넷 서핑 중 감염되는 비중이 70%에 달했다.
랜섬웨어 해커는 개발그룹과 유포 그룹으로 나뉘어 개발자 노출을 최소화한다. 개발자 그룹이 수익 40%를, 유포그룹이 나머지를 가져가는 구조다. 국내 대상 공격 랜섬웨어는 주로 러시아와 그 주변국에서 개발됐다. 주요 유포지는 중국으로 한글을 잘 이해하는 해커도 가담한 것으로 추정했다.
개인은 물론이고 공공기관과 대기업, 중소·중견기업, 교육기관, 병원 등이 피해를 입었다. 대부분 최소한 보안 장치로 안티바이러스(백신)을 도입했고 기업과 기관 절반 이상은 방화벽 등을 갖췄으나 PC데이터 보호·관리정책이나 백업 등은 이뤄지지 않았다.
조직 내 감사나 대외적 보안 신뢰 하락을 우려해 제때 보고되지 않거나 개인적으로 처리되는 사례가 많았다. 조직적·체계적 침해 대응을 어렵게 만든다는 지적이다. 복구과정에서 과다한 복구 비용과 데이터 유출 등 2차 피해도 발생했다.
한국랜섬웨어침해대응센터 관계자는 “랜섬웨어 침해는 사이버 보안 바로미터로 언제든 PC 좀비화나 지능형 공격을 받을 수 있음을 의미한다”면서 “공공기관 등에서 감염 사실을 보고하지 않고 처리하는 일은 사이버보안 적색 경고등을 무시하는 행위”라고 말했다.
박정은기자 jepark@etnews.com
