다음 공격할 지인 이메일 요구…악랄해진 랜섬웨어
입력
수정
지면A16
PC 복구해주는 대가로 2명 이상의 이메일 요구중소기업 A사의 회계담당 직원은 작년 말 무심코 이메일 첨부파일을 열었다가 미수금 관리장부가 저장돼 있는 PC가 랜섬웨어에 감염됐다. 장시간 업무가 마비된 데다 PC를 복구하기 위해 수백만원 상당의 금전적 손해까지 입었다.
작년 피해 86.8% 증가
조직개편, 연말정산 위장…기업으로 피해 확산
출처 알 수 없는 메일 주의
랜섬웨어 피해가 일반인뿐만 아니라 기업으로까지 확산되고 있다. 랜섬웨어는 인터넷 사용자의 컴퓨터에 잠입, 내부 문서나 사진 파일 등을 암호화해 열지 못하도록 한 뒤 해독용 열쇠 프로그램을 전송해준다며 금품을 요구하는 악성코드다. 보통 보안이 취약한 웹사이트, 파일 공유 프로그램 등을 통해 유포된다. 하지만 정치적 사안이나 연말정산 등 특정 이슈를 다룬 문서파일로 위장해 이용자가 의심 없이 첨부파일을 열어보도록 진화하면서 일반인뿐만 아니라 기업들까지 피해를 보고 있다. 한국인터넷진흥원(KISA)에 따르면 지난해 접수한 랜섬웨어 피해 신고는 1438건으로 전년(770건)보다 86.8% 증가했다.◆진화하는 랜섬웨어
랜섬웨어 피해가 급증한 것은 이 같은 공격이 사이버 공격자들의 주요 돈벌이 수단이 되고 있기 때문이다. 글로벌 보안업체 시만텍에 따르면 지난해 상반기 랜섬웨어 평균 요구액은 건당 679달러(약 80만원)로 전년 대비 두 배 이상 늘었다.
대행업자가 랜섬웨어 제작·배포를 대신해주는 서비스형 랜섬웨어(RaaS)가 등장한 것도 관련 공격이 늘어난 주요 원인이다. 일정 비용만 지급하면 누구나 랜섬웨어를 이용해 사이버 공격을 할 수 있게 됐다. 대행업자들은 피해자가 ‘몸값’을 지급하면 수익의 일부를 가져가거나 의뢰인으로부터 정해진 비율의 수수료를 받는다. 이들 랜섬웨어 거래는 인터넷 암시장인 다크웹(다크넷)에서 주로 이뤄진다. 토르 등 특정 브라우저로만 접속이 가능한 다크웹에서는 랜섬웨어 제작 도구(툴)를 사고팔 수도 있다.전파 방식도 더 악랄해지고 있다. PC 복구에 필요한 복호화 키를 무료로 주는 대신 2명의 다른 희생자 이메일 주소를 요구하는 수법까지 등장했다. 첨부된 악성파일을 걸러주는 메일 필터링 시스템이나 유해 트래픽 감지 시스템 등 보안시스템을 제대로 갖추지 못한 중소기업이 주로 피해를 보고 있다는 게 보안업계의 설명이다.
◆국내 기업·기관 겨냥
KISA는 올해 중요한 정보를 가지고 있는 기업, 기관을 표적으로 삼는 랜섬웨어 유포가 늘어날 것으로 내다봤다. 예를 들어 이메일을 이용해 기업 임원 PC에 랜섬웨어를 유포한다든지 기업 내부 암호화 솔루션(DRM)의 취약점을 이용해 암호를 변경한 뒤 ‘몸값’을 요구하는 방식으로 공격이 진화할 수 있다는 분석이다. 북한도 정치적 목적뿐 아니라 외화벌이를 위해 해킹을 활용하면서 국내 사이버보안 위협이 고조되고 있다.새해 들어선 사내 메일을 가장해 악성파일을 첨부한 이메일이 국가 기관과 기업에 다량 발송되기도 했다. 신년을 맞아 조직개편 등 내부 변동 사항이 많은 시점을 노려 사내 내부지침을 공유하는 것처럼 파일을 첨부해 사용자들이 이를 의심 없이 열어보도록 유도했다. 첨부된 파일을 압축 해제하고 파일을 실행하면 사용자 PC가 랜섬웨어에 감염된다. 김준섭 이스트시큐리티 부사장은 “중요한 문서를 다루는 국가 기관과 기업 종사자를 특정해 공격하는 등 랜섬웨어를 활용한 사이버 공격 방식이 갈수록 지능화되고 있다”고 말했다.
전문가들은 랜섬웨어 피해를 예방하기 위해선 발신인을 알 수 없는 이메일을 열지 말고 중요한 자료는 반드시 복사본을 만드는 등 기본 보안 수칙을 지켜야 한다고 당부했다.
■ 랜섬웨어사용자의 PC를 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬(ransom)’이란 수식어가 붙은 악성코드다. 공격자가 인터넷 사용자의 컴퓨터에 잠입해 파일에 암호를 걸어 열지 못하도록 잠근 뒤 열쇠 프로그램을 전송해 주는 대가로 금품을 요구하는 사이버 범죄 수법이다.
추가영 기자 gychu@hankyung.com