生活文化/세상이야기

[단독]한국 시장 정조준… 급속 진화한 랜섬웨어 주의보

바람아님 2016. 12. 1. 23:18

동아일보 2016-12-01 03:00:00


국내에서 지난해 4월 발견된 랜섬웨어 알림창(위 사진)과 10월에 발견된 알림창. 어색했던 한국어 문장이 매끄럽게 바뀐 것을 알 수 있다. 하우리 제공

 “박근혜 대통령이 사임한다(South Korean President Park Geun-hye Resigns).”

 지난달 중순 국내에서 페이스북 등 소셜네트워크서비스(SNS)를 중심으로 퍼진 기사의 제목이다. 이는 미국의 보도 채널인 CNN과 유사한 이름을 단 패러디 뉴스 사이트 ‘CNN-alive’의 풍자 기사 중 하나였다. 온라인 범죄 조직이 이 사이트를 해킹해 랜섬웨어를 미리 심어두는 바람에 해당 기사를 클릭한 한국 사용자의 PC는 랜섬웨어에 감염됐다. 랜섬웨어는 감염된 PC의 파일들을 암호화해 사용자가 사용하지 못하도록 한 뒤 이를 푸는 대가로 인터넷 가상화폐인 비트코인을 요구하는 신종 악성코드다.

 외국 범죄조직이 최순실 게이트 관련 기사 등 현 시국에서 한국 사람들이 관심 가질 만한 글을 이용해 랜섬웨어를 확산시키는 좋은 환경이 조성돼 있어 보안업계는 경계를 강화하고 있다.



○ 랜섬웨어, 한국 시장 ‘정조준’

 최근 한국 시장을 정조준한 랜섬웨어는 급증하는 추세를 보인다. 지난달 29일 국내 보안전문기업 하우리에 따르면 지난해 2월 국내에서 처음 13건이 발견된 랜섬웨어 악성코드는 10월 기준 343건까지 치솟았다. 금융감독원이나 검찰청 홈페이지를 흉내 내 계좌 비밀번호나 보안카드 번호 등을 일일이 입력하게 하는 파밍(Pharming) 수법의 성공률이 국내에서 점차 저조해지자 범죄조직들이 랜섬웨어를 활용하기 시작했다고 보안업계는 파악하고 있다.

 랜섬웨어는 악성코드가 심어진 사이트에 접속하기만 해도 감염된다는 점에서 파급력이 크다. 일단 감염되면 PC 배경화면이 비트코인을 요구하는 화면으로 바뀌고 제어가 불가능해진다. 안내에 따라 수십만∼수백만 원에 이르는 비트코인을 지불하면 복구할 수 있는 암호 키가 제공된다.

 랜섬웨어 피해가 국내에서 증가하고 있을 뿐만 아니라 감염 형태 또한 ‘한국형’으로 진화하고 있다. 유명 온라인 커뮤니티나 언론사 홈페이지에 있는 광고 배너 등을 통하는 등 접근성이 점차 높아지는 추세다. 10월 랜섬웨어에 당해 PC를 포맷했다는 직장인 김모 씨(35·여)는 “이상한 사이트에 들어간 기억도 없는데 갑자기 아이 돌잔치 사진을 비롯해 파일이 모두 잠겨 있어 눈앞이 깜깜했다”고 말했다.

○ ‘랜섬웨어 대란’ 우려

 어색한 초기 한국어 안내문도 점차 매끄럽게 바뀌며 ‘진화’하는 모양새다. 지난해 4월 발견된 랜섬웨어가 ‘본인의 모든 파일을 바이러스로 코딩했습니다’란 알림을 띄운 반면 10월에 발견된 랜섬웨어는 ‘지금부터는 암호를 해독할 때까지 해당 파일은 사용하실 수 없습니다’라고 안내했다.

 현재까지 국내 랜섬웨어 유포 건수가 300∼500건에 그치고 있는 것은 기존 파밍 범죄의 주범이던 중국 인터넷프로토콜(IP)들이 참여하지 않고 있기 때문이다. 최상명 하우리 실장은 “이르면 내년 초쯤에는 한국인들을 대상으로 하던 중국의 파밍 조직들이 랜섬웨어로 넘어올 것으로 예상된다. 피해가 기하급수적으로 늘어날 것으로 보여 국내 보안업계가 긴장하고 있다”고 말했다.

 랜섬웨어 피해는 늘고 있지만 아직까지 최초 유포자 검거 건수는 ‘0’건이다. 범죄자들이 많게는 수십 개 사이트를 중간 단계로 거칠 뿐만 아니라 최종 IP를 밝혀낸다고 해도 러시아 등 동유럽권인 경우가 많아 수사 공조가 쉽지 않기 때문이다.

 보안업계에서는 △주요 문서 및 파일은 정기적으로 백업 △발신인이 명확한 e메일도 링크나 첨부파일 열기 전 본인 확인 △운영체제 및 각종 응용프로그램(인터넷 익스플로러, 자바, 아크로뱃 등) 최신 보안 업데이트 △백신 프로그램 최신 업데이트 등 예방책을 권고하고 있다.

곽도영 기자

※ 랜섬웨어

몸값(ransom)과 제품(ware)의 합성어로, 컴퓨터 파일을 인질로 삼아 돈을 요구하는 신종 악성코드.