'데이터 인질극' 랜섬웨어, 한국도 주의보

사용자 PC를 악성코드에 감염시켜 내부 주요 파일들을 암호화한 뒤 이를 풀어주는 대신 대가를 요구하는 랜섬웨어가 국내서도 등장, 각별한 주의가 필요하다.

랜섬웨어는 이미 해외에서는 수년 전부터 등장하기 시작한 공격수법이다. 시만텍, 카스퍼스키랩, 인텔시큐리티(맥아피) 등에서는 관련 피해사례를 다룬 보고서들도 내놓고 있다. 스팸메일을 보내 사용자들이 첨부파일을 클릭하도록 유도하는 방식이 많이 쓰인다는 것이 업계 설명이다.

국내도 안전 지대는 아니다. 안랩에 따르면 대표적인 랜섬웨어 중 하나인 'CTB 락커'에 대한 국내 감염사례가 접수되고 있다. 한국인터넷진흥원(KISA) 코드분석팀 임진수 팀장은 랜섬웨어를 통한 PC감염사례는 작년부터 국내에서도 나오기 시작했다며 아직은 영문이메일로 첨부파일도 doc, pdf 등과 같이 한국을 타깃한 것이라고 보기는 어려운 수준이라고 밝혔다. 이어 아직까지 한국 사용자를 노린 공격이 발견된 것은 아니지만 앞으로 확대될 것이라고 보인다며 주의를 당부했다.

시만텍이 지난해 발표한 인터넷 보안 위협 보고서에 따르면 랜섬웨어는 2013년 전년대비 5배 가량 증가했다. 지난해 10월 한 달 동안 발견된 랜섬웨어 중 시스템에 치명적인 영향을 주는 공격형 랜섬웨어가 차지하는 비중은 55%에 달했다. 이들 랜섬웨어는 중요 데이터를 암호화해 인질로 삼을 뿐만 아니라 공유파일, 네트워크 드라이브에 첨부된 파일들에게 까지 손실을 입힌다.

블루코트에 따르면 지난해 5월 대표적인 콘텐츠관리시스템(CMS) 제작툴인 워드프레스로 개발한 웹사이트들이 '크립토월'이라는 랜섬웨어에 공격을 당하기도 했다. 일반PC, 스마트폰 외에 기업의 네트워크스토리지(NAS)에 침투해 이를 인질로 삼기도 한다.

맥아피 연구소가 발간한 지난해 3분기 쓰렛 리포트는 '크립토락커'라는 랜섬웨어가 해당 분기에만 200만건이 발견됐으며, 이로 인한 피해액 역시 25만5천달러 이상인 것으로 추산했다.

더 큰 문제는 랜섬웨어 제작자들이 드롭박스, 구글 드라이브, 원드라이브 등 클라우드 기반 스토리지에 저장된 파일들까지 노릴 것으로 예상된다는 점이다.

맥아피 연구소는 클라우드 스토리지에 백업용으로 저장한 데이터까지 인질 대상이 될 수 있다고 밝혔다. 랜섬웨어를 통해 암호화된 파일들이 클라우드 기반 랜섬웨어 자체를 다른 곳에 전파시킬 수 있는 경로로 악용할 가능성이 높다는 설명이다.

공격자들이 랜섬웨어에 집중하는 이유 중 하나는 투자대비 높은 수익을 얻을 수 있다는 점 때문이다. 카스퍼스키랩은 모바일 랜섬웨어 '블로커'의 경우 공격자들이 악성코드를 구입해 배포하는 비용이 평균 1천달러에 달하지만 이를 통해 약 100명의 피해자들로부터 최소 2만달러 이상 수익을 내고 있다고 분석했다.