며칠새 악성코드 '워너크라이' 공격에 150개국이 당했다. 영국과 인도네시아에선 병원, 스페인에선 통신사, 미국에선 배송업체, 러시아에선 공공기관, 일본과 프랑스에선 자동차 제조사, 독일에선 국영철도회사, 중국에선 경찰과 석유공사(CNPC) 등의 전산시스템이 감염됐다. 한국선 영화관업체, 병원, IT서비스업체, 제조업체의 전산시스템과 자영업자 카드 단말기가 피해를 입었다.
워너크라이는 윈도 PC와 서버를 노린 '랜섬웨어'다. 랜섬웨어는 컴퓨터를 감염시켜 저장된 데이터를 암호화해 못 쓰게 만드는 악성코드다. 공격자는 암호화를 풀고 싶으면 감염 피해자에게 돈을 내놓으라고 요구한다. 납치범이 인질을 풀어줄 대가로 '몸값(ransom)'을 요구하는 것과 닮았다. 다만 현찰을 요구하는 납치범과 달리, 랜섬웨어 공격자는 신분을 숨기기에 용이한 디지털화폐 '비트코인'을 요구한다.
워너크라이 공격자도 피해자에게 '3일안에 300달러, 3일이 지나면 600달러'를 결제해야 암호를 해독해 준다고 안내한다. 1주일이 지나면 암호화한 데이터를 지워버릴 것이라고 으름장을 놓는다. 피해자가 평소에 주요 데이터와 파일을 백업하는 습관을 갖지 않았다면, 선택지는 2가지 뿐이다. 하나는 '재수가 없었다' 치고 자료를 포기하는 것이고, 다른 하나는 데이터를 살리기 위해 비트코인을 결제하는 것이다.
쿨하게 자료를 포기할 수 있다면 오히려 행운이다. 데이터를 살리기 위해 비트코인을 결제할까 고민해야 할 경우가 문제다. 피해자가 이걸 고민한다면 인질로 잡힌 데이터가 적어도 300달러 또는 600달러 이상의 가치가 있다는 얘기다. 하지만 랜섬웨어 공격자가 피해자로부터 돈을 받았다고 해서 반드시 그 데이터를 살려준다는 보장은 없다.
■"돈 낸다고 데이터 살려 준다는 보장 없다"
실제로 지난 15일 미국 정부 정례 브리핑에서 톰 보서트 국토안보보좌관은 워너크라이 랜섬웨어 관련 현황을 설명하면서 "이 범죄 행위는 돈벌이 목적(intended to raise money)으로 벌어진 것으로 보이지만, (공격자에게 피해자들이) 지불한 몸값은 7만달러(약 8천만원)를 밑도는 것으로 보인다"며 "우리는 몸값을 지불해 데이터를 복구했다는 사례를 접하지 못했다"고 밝혔다.
보안업계는 일반적으로 피해자더러 '공격자에게 돈을 지불하지 말라'고 충고한다.
최근 F5네트웍스는 "랜섬웨어 공격자에게 비용을 지불하지 말라"며 "해커들은 어떤 기약도 없이 당신을 괴롭힐 것"이라고 경고했다. 카스퍼스키랩은 작년말 연례 보안 뉴스레터를 통해 "중소중견기업 5곳 중 1곳은 공격자에게 대가를 지불하고 파일을 되찾지 못했다"고 지적했다. 시만텍코리아는 지난해 7월 랜섬웨어 동향 브리핑에서 "공격자에게 돈을 낸다고 복구해 줄 거란 보장은 없다"고 조언했다.
물론 예외는 있다. 랜섬웨어 감염 피해자 가운데 실제로 돈을 지불함으로써 데이터를 살린 이들도 없지 않다는 얘기다.
시만텍코리아 윤광택 최고기술책임자(CTO)는 지난해 랜섬웨어 동향 브리핑에서 이렇게 설명했다. "실제로 과거엔 랜섬웨어 공격자들 사이에서 돈을 받고 복구 기술을 제공하지 않는, 소위 '먹튀' 비중이 높은 편이었다. 이는 랜섬웨어 공격을 통한 수익성 저하로 이어졌다. 돈을 줘도 복구를 못 할 것이란 생각이 퍼졌기 때문이었다. 그러자 공격자들이 신뢰성을 얻기 위해 복구 기술을 제공하는 사례가 늘었다."
■운 좋은 사례들
랜섬웨어 공격자가 돈을 안 받고 데이터를 살려준 아주 독특한 사례도 있다.
지난 15일 대만 '타이완뉴스' 영어판 보도에 따르면 지난 4일 현지 네티즌은 '썬더크립트'라는 랜섬웨어에 PC를 감염당했다. 모든 파일이 암호화돼 쓸 수 없게 됐다. 공격자는 0.345비트코인을 지불하면 복구 기술을 제공하겠다고 안내했다. 이 피해자는 "내 월 수입은 400달러밖에 안 된다"고 하소연했다. 그러자 공격자는 자신들이 "현지 평균수입을 과도 추정해 캠페인에 실패했다"면서 무상으로 암호화를 풀어 줬다.
랜섬웨어 공격자의 '선심'에 기대지 않고도 드물게 잃을 뻔했던 자료를 되살린 감염 피해 사례도, 찾아보면 있을 수 있다. 일부 유명 랜섬웨어는 공격자에게 돈을 내지 않고 자료를 살릴 수 있는 '해독' 기술을 통해 대응할 수 있었다.
관련기사
- 랜섬웨어 워너크라이 피해 현황은2017.05.17
- 랜섬웨어 공격 북한 배후설, 사실일까2017.05.17
- 킬스위치 없는 워너크라이 변종 우려…사실은2017.05.17
- "워너크라이 랜섬웨어, 북한과 연관성 발견"2017.05.17
지난해 7월 유럽형사경찰기구(유로폴)와 인텔시큐리티(맥아피), 카스퍼스키랩 공조로 출범한 '노모어랜섬' 프로젝트 얘기다. 당시 여기서 2014년말 등장한 셰이드(Shade) 등 랜섬웨어 4종의 암호화 복구 툴이 제공됐다. 이는 사법기관과 사이버보안업체 전문가들의 협력을 통해 기술적인 도움을 받을 수 있는 운이 좋은 경우였다.
이와 별개로 사이버보안업체 체크포인트는 지난해 8월 당시 악명을 떨친 케르베르(Cerber) 랜섬웨어의 결함을 활용, 자체 개발한 암호화 복구 툴을 공개했다. 하지만 이 툴의 혜택을 본 사람은 많지 않았을 것으로 보인다. 회사측은 복구 툴을 2016년 8월 16일자로 공개 배포하기 시작했는데, 그 효력은 이튿날인 17일 곧바로 사라졌기 때문이다. 랜섬웨어 제작자가 케르베르의 결함을 빠르게 고쳤기 때문이었다.
