[이슈분석]끝나지 않은 랜섬웨어 '공포'

#직장인 A씨는 업무를 보기위해 문서를 열람하려 했으나 실패했다. 사무실 서버가 랜섬웨어에 걸려 모든 파일이 잠겼기 때문이다. 오피스 문서는 모두 확장자 '.locked' 형태로 변했다. 별도 경고 창에는 해당 문서를 열기 위해 특정 주소로 0.8비트코인을 보낼 것을 요구했다. 거래처와 급한 문서를 교환해야 했지만 유료 업체에 문의해도 돈을 지불하는 방법밖에 없다는 대답만 돌아와 망연자실 했다.

#대학생 B씨는 좋아하는 음원을 찾기 위해 외국 사이트를 방문했다가 랜섬웨어에 감염됐다. 과제를 위해 작성했던 문서뿐 아니라 과거 저장해 뒀던 사진 모두 확장자 '.vhbxuob' 변경 돼 아무것도 할 수 없게 됐다. 인터넷 카페 등에 가입해 랜섬웨어 복구 방법을 문의했지만 돈을 주는 방법 밖에 없다고 해 전체 파일을 모두 삭제했다.

◇끝나지 않은 랜섬웨어 '공포'…매그니버·갠드크랩 기승 여전

올해 상반기 개인·기업을 상대로 무차별 공격을 가한 랜섬웨어가 여전히 기승을 부린 것으로 나타났다. 지난해 세계를 강타한 위너크라이, 샘샘 랜섬웨어 등과 달리 대규모 피해는 발생하지 않았지만 소규모기업, 개인 피해는 지속 보고됐다. 각종 보안 기업뿐 아니라 관련 포털 카페 등에서는 매일 감염피해를 호소할 정도다. 최근 등장한 랜섬웨어는 복호화 자체가 어려워 피해자는 울며겨자먹기로 해커에게 돈을 지불하거나 파일을 모두 삭제하는 것으로 나타났다.

새로운 랜섬웨어 등장뿐 아니라 꾸준히 배포방식을 바꾸며 신종을 만들어낸다. 올해 초 랜섬웨어는 일정부분 정형화된 형태로 배포됐다. 하지만 이후 취업시즌과 맞물려 '입사 지원서' 위장 랜섬웨어를 배포하거나 공정거래위원회 사칭, '저작원 위반 이미지파일 사용' '차량 법규 위반 통지서' '피고 소환장 통지서'로 위장하는 등 타깃을 노려 피해가 커졌다.

상반기 매그니버·갠드크랩 랜섬웨어가 가장 기승을 부렸다. 체크멀에 따르면 1월부터 6월까지 자체 백신으로 탐지한 랜섬웨어 가운데 매그니버 랜섬웨어가 5만475건으로 가장 많은 수를 차지했다. 갠드크랩 랜섬웨어는 1906건으로 뒤를 이었다. 헤르메스(692건), 래피드(473건) 등도 꾸준하게 발견됐다.

랜섬웨어는 배포 방식을 변화하거나 백신기업과 신경전을 벌이는 등 진화를 거듭했다. 안랩에 따르면 올해 초 갠드크랩(GandCrab)랜섬웨어는 익스플로잇(취약점)을 노려 보안이 허술한 웹사이트 방문 시 감염되는 단순 형태였다. 이후 갠드크랩 랜섬웨어는 버전 업데이트로 스카이프, 카카오톡 등 정상 유틸리티 프로그램을 위장해 유포되거나 지원서를 가장해 감염을 시도했다.

갠드크랩 랜섬웨어 2.1버전은 파일리스(Fileless)형태로 배포되기 시작했다. 사용자 PC에 별도 실행파일을 다운로드하지 않는다. 취약점을 이용해 사용자 PC 시스템 폴더 등에 랜섬웨어 코드를 덧씌운다. 응용소프트웨어에 랜섬웨어 코드가 삽입되기 때문에 파일 암호화뿐 아니라 PC 사용에도 오류를 일으킬 가능성이 높다.

이후 윈도 파워셸 기능을 활용하는 데까지 이르렀다. 파워셸은 명령 프롬프트 확장형으로 다양한 명령어 입력으로 기능을 수행한다. 공격자는 외부 서버에 등록된 코드(DLL 모듈)를 받아 암호화를 실행하고, PC에는 악성 파일 자체가 생성되지 않는 파일리스 방식으로 동작한다. 복호화를 사실상 불가능하게 한 것이다.

매그니버 랜섬웨어도 마찬가지다. 지난해 말 사이트 취약점을 통해 올해 초까지 무차별 유포된 후 자취를 감췄다가 파일리스 형태로 배포됐다. 보안 업데이트가 적용되지 않은 PC사용자가 외국 음원, 드라마다시보기 사이트 등 방문으로 감염 사례가 속출했다.

보안업계 관계자는 “매그니버, 갠드크랩 랜섬웨어를 중심으로 빠른 변종 개발 등 활발하게 활동한다”면서 “매그니버 랜섬웨어는 PC취약점을 악용해 무차별 배포하고 있으며 갠드크랩은 정상 소프트웨어 가장하거나 특정 타깃을 노리는 방식으로 교묘해져 주의가 필요하다”고 설명했다.

◇랜섬웨어 목적은 '돈'…백신업체와 신경전까지

돈을 벌기위한 목적이 뚜렷한 랜섬웨어는 악성코드 제작자와 배포자가 동일한 과거와 달리 랜섬웨어 제작자가 배포자에게 판매하는 형태인 '서비스형 랜섬웨어'로 발전했다. 랜섬웨어 제작자는 상용 소프트웨어(SW)와 마찬가지로 랜섬웨어 판매 확대 등을 위해 복호화나 백신에 발각되지 않는 버전을 지속 제작해 제공한다.

보안업계 관계자는 “랜섬웨어 제작자는 다크웹을 통해 자신이 제작한 랜섬웨어 기능을 홍보하는 모습을 포착했다”면서 “과거 해킹, 악성코드 등이 과시용이었다면 최근에는 오로지 돈을 벌기 위한 행위로 좁혀졌다”고 말했다.

제작자와 보안기업 간 공격과 방어를 지속하면서 신경전도 벌어졌다. 실제 안랩이 갠드크랩 관련 암호화 차단 방법을 공개 배포하자 공격자는 새로운 갠드크랩 랜섬웨어 배포 시 러시아어를 이용해 안랩을 조롱하는 메시지를 내부에 심기도 했다.

안랩 갠드크랩 유포 스크립트 내 'V3 라이트' 제품을 제거 유도하는 기능도 발견됐다. 랜섬웨어를 실행하기 이전 코드 통해 '윈도 디펜더' 서비스 비활성화와 V3 삭제를 유도한다. 갠드크랩 4.3버전으로 백신 제거기능은 안랩 제품만을 특정했다.

◇사후 대응 어려워…사전 패치, 백업 등이 우선

전문가는 랜섬웨어 제작자가 꾸준히 버전 업데이트를 통해 복호화를 불가능하게 해 사후 대응이 어렵다고 설명한다. 의심되는 이메일은 가급적 열어보지 않는 보안습관이 요구된다. 최근 공격자가 정교한 형태로 메일을 유포하기 때문이다. 공정거래위원회를 위장한 갠드크랩 랜섬웨어 배포가 올해 초 과거 공정위 로고를 사용했지만 최근에는 현재 공정위에서 활용하는 로고로 변경하기도 했다.

무엇보다 운용체계(OS)와 응용프로그램을 항상 최신 버전으로 업데이트해 취약점으로 인한 감염 피해를 입지 않도록 대비하는 것이 중요하다. 중요파일을 주기적으로 백업하는 습관도 요구된다. 데이터 백업 시 공격자에게 몸값을 지불하지 않아도 되기 때문이다. 업무와 관련한 문서나 주요 이미지 파일은 온·오프라인 저장환경을 활용해 주기적으로 백업한다.

이형택 이노티움 랜섬웨어침해대응센터장은 “랜섬웨어는 돈을 목적으로 지속해 변종을 만들어 내 보안솔루션으로 완벽하게 방어하기 어렵다”면서 “랜섬웨어에 걸린 후 사후 대응에 나서는 것이 아니라 소프트웨어·백신 최신 업데이트, 백업 등 사전에 인지하고 예방하는 방안이 최선”이라고 말했다.

정영일기자 jung01@etnews.com