랜섬웨어 공격, 끝날 때까지 끝난 게 아니다. 
June 6, 2017

올해 5월은 전 세계를 강타한 “워너크라이(WannaCry)”라는 랜섬웨어(Ransomware)의 공격으로 떠들썩했다. 영국의 NHS(국민보건서비스)를 비롯하여 다양한 기업 및 기관들이 이로 인해 막대한 피해를 보았고, 국내에서도 대형 영화관 등에서 피해가 발생했었다. 약 150개 국가에서 200,000명 이상의 피해자가 속출한 이 공격은 마이크로소프트의 취약점을 악용하여 빠르게 퍼져나갔다. 현재로서는 랜섬웨어의 킬 스위치 발견으로 인해 잠잠해지는 추세로, 워너크라이의 배후에 대해서 많은 조사가 이루어지고 있다. 랜섬웨어에 사용된 언어를 분석한 결과, 중국어를 모국어로 사용하는 그룹이 랜섬웨어를 제작한 것으로 추정되고 있다. 그러나 아직도 정확하게 알려진 사실은 없으며, 추가 공격 확산에 대한 우려도 상대적으로 높아지고 있다.

이미지 출처: 포브스(Forbes)

사실 랜섬웨어는 1980년대 후반부터 시작된 긴 역사를 가지고 있는 말웨어다. 1989년 WHO가 주최한 국제 에이즈 컨퍼런스에서 암호화 기술을 이용한 트로얀 바이러스로 감염된 2만여 개의 디스크가 참석자에게 나누어진 것이 랜섬웨어 공격의 시초이다. 그 이후, 2000년대부터 랜섬웨어 공격은 활발해지기 시작하며 다양한 규모의 공격이 세계 각국에서 일어나고 있다.

랜섬웨어 공격은 주로 기기를 잠가버리는 락커(Locker) 랜섬웨어와 기기에 있는 파일들의 접근을 차단하는 암호화 랜섬웨어 두 가지로 크게 나눠진다. 랜섬웨어는 소프트웨어의 취약점을 이용하거나 링크 클릭 및 파일 다운로드를 이용한 피싱 공격 등의 형태로 전파되며, 파일 복구 및 기기 접근을 위해서는 금전을 요구하는 경우가 많다. (이번 경우에는 가상화폐 비트코인을 요구했다) 그러나 피해자가 금전을 지급한다 하더라도, 원상복구 여부는 보장되지 않는다.

랜섬웨어는 보안 취약점을 이용하여 만들어지는 경우가 많은데, 여기에서 주목할 점은 알려지지 않은 제로데이 취약점이 빠르게 증가하고 있다는 점이다. 그리고 이러한 제로데이 취약점들이 해커들에게 넘어간다면, 앞으로 더욱 피해가 커질 것으로 예상한다. 예를 들어, 해커 그룹인 섀도우 브로커스(Shadow Brokers)는 미국 NSA로부터 탈취한 해킹 툴들을 월간 구독 형태로 판매할 예정이라고 최근 밝혔다. 이러한 도구가 랜섬웨어 공격자에게 넘어간다면, 앞으로 더욱 심각한 피해를 가져올 수 있는 랜섬웨어가 만들어질 수 있다.

워너크라이 공격은 윈도우즈를 운영체계로 이용하는 PC를 대상으로 이루어진 공격이지만, 모바일 기기들도 얼마든지 랜섬웨어의 희생양이 될 수 있다. 실제로 러시아 보안 업체 카스퍼스키(Kaspersky Lab)의 최근 발표에 따르면, 2017년 1분기에 모바일 랜섬웨어 공격은 작년 4분기에 비해 250% 급증하였다. 모바일 기기의 사용량이 빠르게 성장함에 따라 이를 노리는 해커들의 공격도 함께 증가하는 셈이다. 또한, 대다수의 모바일 기기 사용자는 기기에 개인정보를 비롯하여 회사 데이터까지 접근할 수 있도록 설정해놓은 경우가 많기에, 이를 노리는 랜섬웨어 공격은 기업에도 크나큰 피해를 가져올 수 있다. 또한, 랜섬웨어의 위험은 의료기기, 스마트카, IoT 기기 등으로도 확장될 수 있어, 추후 더 큰 규모의 피해 가능성이 높다.

디바이스 기기 이용자로서 랜섬웨어의 감염을 방지하기 위해서는 꾸준한 소프트웨어 업데이트 및 데이터 백업이 중요하다. 소프트웨어 제조사들은 취약점 패치를 위해 보안 업데이트를 자주 배포하는데, 이를 통해서 랜섬웨어 감염을 방지할 수 있다. 이번에 일어난 워너크라이 공격도 마이크로소프트가 3월에 배포한 업데이트를 이용자들이 미리 설치했다면 큰 피해가 일어나지 않았을 것이다.

또한, 데이터 백업을 통해 중요한 정보들을 미리 저장해놓는다면, 랜섬웨어에 감염되었을 때도 랜섬을 내야 하는 상황을 피할 수 있다. 그리고, 컴퓨터 및 모바일 기기를 사용할 때에는 출처가 불분명한 링크나 파일을 클릭하는 것은 피해야 한다. 위와 같은 방법으로 큰 피해를 가져올 수 있는 보안 사고를 미리 방지하는 것이 좋다. 하지만 랜섬웨어는 아직 널리 알려지지 않은 제로데이 취약점 등을 이용하기에 개인 이용자들이 위험을 완벽하게 방지하기에는 한계가 있다. 기업 차원에서도 소프트웨어의 보안 상태를 꾸준히 점검하는 등 보안의 중요성을 미리 인지하고 강조하여 보안에 더 투자하는 것이 랜섬웨어 예방에 바람직하다.

조 성
샌프란시스코의 모바일 보안 전문 스타트업 'SEWORKS'에서 마케팅 총괄(Head of Marketing)로 일한다. '티파니 앤 코(Tiffany & Co.)'에서 글로벌 마케팅을 담당했고, 뉴욕 대학교(New York University)에서 국제 정치와 비즈니스(International Politics and Business)로 석사 학위를 받았다. 글로벌 비즈니스에 관심과 열정을 갖고 있다. 'SEWORKS'에서 일하며 느낀 보안의 중요성을 널리 알려, 전 세계 앱 개발자들이 해킹 공격으로부터 안전해지기를 바라고 있다.