랜섬웨어 새 국면…민감정보 빌미로 개인과 직접 '딜'

게티이미지뱅크
게티이미지뱅크

대기업 등 산업체를 중심으로 확산하던 랜섬웨어가 일반 개인에게까지 세력을 뻗쳤다. 랜섬웨어 공격자는 민감정보를 확보한 뒤 개별 이용자와 직접 협상에 나섰다.

서울 강남구에 위치한 바노바기 성형외과는 최근 랜섬웨어 공격을 받았다. 병원 측은 지난달 22일 랜섬웨어 감염을 확인한 뒤 경찰에 수사를 의뢰하고 네트워크 접속을 차단하는 등 조치를 취했다.

경찰 수사가 진행 중인 상황에서 랜섬웨어 공격자는 지난 2일 병원 고객에게 직접 연락을 취한 것으로 파악됐다. 공격자는 병원에서 확보한 연락처를 이용해 고객에게 문자와 이메일 등을 발송, 암호화폐를 요구한 것으로 알려졌다.

병원 측은 홈페이지 공지를 통해 “잘 알지 못하는 측으로부터 문자, 이메일, 전화 연락에 각별히 유의해달라”면서 “특히 본원을 사칭한 문자 또는 이메일에 포함된 인터넷주소(URL) 링크는 클릭하지 말아달라”고 고객에게 당부했다.

서울 강남에 위치한 바노바기 성형외과가 랜섬웨어 감염과 관련해 공지한 안내문. 바노바기 성형외과 홈페이지 캡처
서울 강남에 위치한 바노바기 성형외과가 랜섬웨어 감염과 관련해 공지한 안내문. 바노바기 성형외과 홈페이지 캡처

보안업계에서는 랜섬웨어 감염 사실이 이례적으로 공개된 것과 관련해 유명인 민감정보가 대거 유출됐을 것으로 보고 있다. 랜섬웨어에 감염되더라도 평판 훼손 등을 우려해 공격자가 요구하는 대로 금전을 지불하거나 경찰 신고를 미루는 사례가 대부분이다.

업계 관계자는 “랜섬웨어 감염을 경찰에 신고하고 대외에 공개했다는 건 매우 이례적”이라면서 “신고하고 공개하는 것만이 유일한 선택지였을 만큼 민감한 정보가 유출됐거나 유명인 정보가 상당수 포함됐을 것으로 보인다”고 설명했다. 일각에서는 공격자 협박을 받은 일부 고객이 암호화폐를 지불한 것으로 전해졌다.

이번 공격은 병원을 압박하기 위해 고객 불안감을 이용했던 과거 해킹 수법에서 진화한 형태다. 이전에 공격자는 해킹한 병원을 상대로 돈을 갈취하는 데 주력했으나 현재 민감정보 당사자인 개인을 직접 갈취하는 데까지 나아갔다. 랜섬웨어 감염으로 사고 사실이 외부에 드러나게 만들고 개별 고객을 직접 접촉, 수익성을 극대화하려는 수법이다.

앞서 공격자는 2013년 강남 성형외과 서버를 해킹해 수술 전후 사진 등 약 9000건에 달하는 개인정보를 빼돌린 뒤 5억원을 요구했다. 병원 측에서 요구에 응하지 않자 병원을 사칭해 고객에게 문자를 보내는 등 한 달 이상 병원을 압박했다.

한국인터넷진흥원(KISA)은 이번 사고 대응과 관련해 보건복지부가 운영하는 진료정보침해대응센터(KHCERT·의료ISAC)와 정보를 공유하고 있다. 의료 분야 침해사고는 의료ISAC을 중심으로 대응한다.

랜섬웨어는 이달 들어 더욱 증가한 추세다. 보안 인텔리전스 전문업체 에스투더블유랩에 따르면 이달 첫째주 랜섬웨어에 감염된 기업은 지난 1월 첫째주와 비교해 2.6배 증가했다. 랜섬웨어 공격조직 역시 같은 기간 1.6배 증가한 것으로 집계됐다.

에스투더블유랩 관계자는 “국가별로 보면 미국 랜섬웨어 감염 비율(26.3%)이 가장 높다”면서도 “최근 랜섬웨어 공격이 활발해지면서 국가 간 감염 비율이 다양화하고 있다”고 말했다. 산업별로는 제조업(18.8%)이 가장 많은 랜섬웨어 공격을 받는 것으로 나타났다.

피해 규모가 커지면서 랜섬웨어는 국제사회 의제로까지 부상하고 있다. 조 바이든 미국 대통령은 2주 앞으로 다가온 미러 정상회담에서 블라디미르 푸틴 러시아 대통령과 만나 랜섬웨어 책임을 추궁할 것이라고 예고한 바 있다.

오다인기자 ohdain@etnews.com