[포럼] 랜섬웨어 방지 '보안'이 최선이다

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

최근 사용자나 기업의 컴퓨터 파일을 암호화하고 복호를 위한 암호키를 보내주는 대가로 돈을 요구하는 랜섬웨어 공격이 기승을 부리고 있다.

한국인터넷진흥원에서 접수한 현황을 살펴보면, 피해 신고가 2015년 770건에서 2016년 1438건으로 전년 대비 86% 이상 증가했다. 글로벌 보안 회사인 시만텍 2017년 보고서에 의하면, 탐지된 랜섬웨어 개수가 2015년 34만665개에서 2016년 46만3841개로 증가했다. 랜섬웨어 종류도 2015년 30종에서 2016년 101종으로 증가했고, 평균 몸값도 2015년 294달러(약 34만305원)에서 2016년 1077달러(약 124만6627원)로 급격히 증가했다. 랜섬웨어 개수와 피해 규모가 증가하고 있음을 보여주고 있다.

지난 5월 12일 워너크라이 랜섬웨어는 윈도우 운영체제의 취약점을 이용했다. 랜섬웨어에 감염된 컴퓨터가 보안에 취약한 인접 컴퓨터를 찾아 다시 공격하는 웜(worm) 형태 랜섬웨어였다.

6월 10일 국내 기업에서 발생한 에레버스 랜섬웨어는 리눅스 운영체제를 공격했다. 완벽한 백업 체계의 미흡으로 국내 한 기업에서만 13억의 몸값이 강탈된 사건이다. 6월 27일 감염 사례가 보고된 페트야 랜섬웨어는 우크라이나를 강타했다. 페트야도 워너크라이처럼 웜 형태의 랜섬웨어로 워너크라이와 유사한 취약성을 이용했다.

랜섬웨어 공격은 글자 그대로 기업이나 사용자의 금전을 노리고 있다. 거기에 그치지 않고, 최근 페트야 공격처럼 특정 기업이나 국가를 파괴하고자 하는 사이버 무기로 발전될 소지가 있다. 랜섬웨어 유형은 크게 두 가지다. 이용자에 의한 시스템 접근을 금지하는 잠금형 랜섬웨어와, 시스템의 주요 정보 자산을 암호화하는 암호형 랜섬웨어다. 최근에는 암호형 랜섬웨어가 크게 유행하고 있다.

공격자는 시스템을 해킹 후 중요 정보를 빼간다. 정보 유출이 성공하기 위해서는 세 가지 단계의 성공을 요구한다. 일단 시스템에 침투해야 하고, 시스템 내의 공격 주요 자산을 식별해야 하며, 해당 정보를 외부로 유출해야 한다. 랜섬웨어 공격은 마지막 단계가 필요 없이 정보자산의 식별 후 바로 주요 자산을 암호화하면 그만이다. 따라서 공격자 입장에서는 정보 유출이라는 마지막 과정을 생략할 수 있어서 성공 확률을 높일 수 있다. 감염 방법도 다양해지고 있다. 이메일 첨부 파일을 통한 감염, 윈도우 등 운영체제의 취약점을 이용해 공격하는 감염, 웹을 통해 취약한 시스템을 노리는 드라이브 바이 다운로드 방법에 의한 감염, 그리고 파일공유 사이트를 통해 정상 파일로 위장하는 감염 방법 등이다.

피해자에게 돈을 지불하게 만드는 방법도 다양하다. 일정 시간이 지나면 일정 분량의 파일을 삭제하고, 다시 특정 시간이 지나면 파일 전체를 완전히 삭제하며, 어떤 경우에는 유출된 정보를 외부에 공개하는 다양한 방법을 통해 피해자에게 돈을 요구한다.

1989년 처음 나타나기 시작한 랜섬웨어가 최근 급증하는 원인도 다양하다. 첫째, 돈벌이가 되고 있다는 점이다. 하나의 성공적인 랜섬웨어 공격이 후속 랜섬웨어 공격을 유인한다. 둘째, 랜섬웨어가 서비스가 되고 있다. 랜섬웨어를 제작하는 그룹과 제작된 랜섬웨어를 배포해 돈을 버는 그룹 간에 역할 분담을 통해 서로 간의 이득을 공유하고 극대화하고 있다. 셋째, 공격자를 피하기 위한 비트코인과 같은 가상화폐가 널리 통용되고 있다. 비트코인으로 몸값을 지불하기 때문에 공격자의 추적이 현실적으로 매우 어렵다. 랜섬웨어 공격과 비트코인은 이제 떼어놓을 수 없는 관계가 되고 있다.

효과적인 대책은 무엇인가? 일단 컴퓨터가 랜섬웨어에 감염되면 공격자로부터 복호를 위한 암호키를 받지 않고는 원래 데이터를 복구할 수 없음을 명심해야 한다.

보안의 기본으로 돌아갈 수밖에 없다. 보호할 자산을 식별하고, 위험을 식별하고 위험을 관리할 방안을 수립해 운영해야 한다. 사용자나 기업이 랜섬웨어 공격을 완벽하게 막을 수 없다. 구체적으로는 다음을 고려해야 한다.

첫째, 랜섬웨어 공격이 성공했더라도 정보자산을 복구하기 위해선 정보자산의 안전한 백업체제의 구축 및 운영이 절대적이다. 예를 들어 인터넷 나야나가 백업체계를 구축했다면 13억이라는 몸값을 지불하지 않아도 될 뻔했다. 둘째, 사용자와 기업 보안 관리 개선이 필요하다. 보안 패치를 통해 시스템 취약성을 보완하고, 수명이 다한 운영체제에 대한 업그레이드를 해야 한다. 운영체제 보안 업데이트는 귀중한 자산을 보유한 성내의 성곽 허점을 메꾸는 작업과 비유되며, 운영체제 업그레이드는 성의 성곽을 전면적으로 보수하는 것이다. 셋째, 시스템이 안전하게 작동할 수 있도록 디폴트 패스워드의 이용을 자제하고, 시스템에서 사용하지 않는 인터넷 포트를 제거하는 시스템 설정 관리가 필요하다. 넷째, 신뢰할 수 있는 백신 프로그램의 사용과 사용하는 백신 프로그램의 최신 보안 업데이트가 필요하다. 다섯째, 랜섬웨어 공격의 감염경로가 다양하므로, 이용자의 주의가 무엇보다도 중요하다. 파일공유 사이트를 통한 파일의 다운로드와 열람을 주의해야 하고, 이메일을 열람하거나 첨부파일을 열람할 때 많은 주의가 요구된다. 여섯째, 기업에 의한 랜섬웨어 공격이 초래할 기업의 위험을 전가할 수 있는 다양한 방법도 고려해야 한다.

랜섬웨어 공격은 일시적인 현상이 아니라 지속될 것으로 기업과 정부, 이용자의 주의가 요구된다. 정부의 역할도 중요하다. 사고를 사전에 막고 제때에 적절하게 대응하기 위한 정부, 기업, 이용자의 역할 정의와 협력 방안 마련도 필요하다.