[아이티투데이 이경탁 기자] 특정 표적의 시스템을 악성코드에 감염시킨 뒤 데이터를 암호화해 금품을 요구하는 해킹 ‘랜섬웨어’는 ‘뫼비우스의 띠’와도 같다. 보안업계에서 랜섬웨어 관련 데이터를 수집해 차단하면, 새로운 악성코드가 탄생하고 보안업계는 다시 대책을 세우고, 또 공격법은 더욱 발전한다. 뚜렷한 대책이 보이지 않는 것이다. 이런 상황에서 랜섬웨어를 막을 방법은 ‘띠’ 연결고리 자체를 끊어버리는 '킬체인'이라는 분석이 나왔다.

최근 랜섬웨어가 보안업계의 핫 이슈다. 랜섬웨어란 몸값을 뜻하는 ransom(랜섬)과 제품을 뜻하는 ware(웨어)의 합성어로 해커들이 다양한 경로로 컴퓨터에 몰래 악성코드를 설치, 사용자의 문서 및 중요 데이터를 암호화하여 파일을 인질로 붙잡고 돈을 요구한다. 만약 돈을 지불하지 않으면 해커가 해당 사용자의 데이터를 그대로 파기 시킨다.

시만텍이 27일 발표한 ‘랜섬웨어 스페셜 보고서 2016’에 따르면 최근 랜섬웨어는 지난해 대비 100개의 신규 랜섬웨어 패밀리(동일한 범주로 구분한 변종 악성코드 집합)가 발견되며 사상 최대치를 기록했다. 2014년과 비교하면 30%나 증가한 수치다. 현재 랜섬웨어 대부분은 크립토 랜섬웨어로 유닉스, 윈도, 맥 OS X, 안드로이드, iOS 등 모든 운영체제에서 활개치고 있다.

▲ 랜섬웨어를 막을 방법은 ‘띠’ 연결고리 자체를 잘라버리는 킬체인이라는 분석이 나왔다 (사진=위키피디아)

사물인터넷(IoT) 시대가 오며 향후 랜섬웨어의 타깃은 스마트TV, 웨어러블 디바이스 등이 꼽히고 있다. 랜섬웨어 공격을 통해 요구하는 금액도 지속적으로 증가하고 있다. 2014년에는 372달러(한화 약 43만원)에서 올 상반기에는 전년 대비 2.3배 가까이 상승한 679달러(한화 약 77만원)을 기록했다. 올 1월에는 ‘7ev3n-HONE$T(Trojan.Cryptolocker.AD)’로 알려진 랜섬웨어가 1대 당 13개 비트코인인 5천달러(한화 약 577만원)을 요구하면서 최고 몸값을 기록하기도 했다. 

이 같은 랜섬웨어를 이용하는 해커들은 최근 조직화되어 전 세계적으로 악명을 떨치는 테러조직과도 흡사한 구석이 있다. 사람대신 데이터를 인질로 잡고 몸 값이 지불되지 않으면 파기(참수)한다. 아무리 소탕을 하고 대비책을 세워도 절대 없어지지 않는 것도 유사하다.

■  C&C서버(중앙 제어 서버) 통신만 끊어도 랜섬웨어는 불가능 

최근 미국은 테러조직을 근절하기 위해 물리적인 대응 대신, 자금 줄을 차단해 연계된 점 조직들이 자연스럽게 붕괴되는 방법을 많이 사용한다. 테러 조직원들도 사람이듯이 랜섬웨어도 그저 악성코드에 불과하다.

웹 및 메일 등을 통해 주로 유포되는 악성코드를 100% 다 막는다는 것은 현실적으로 불가능하지만 연결고리를 끊으면 데이터를 암호화로 잠기는 것을 막을 수 있다. 이에 킬체인 전략이 필요하다는 것이다.

일반적으로 랜섬웨어는 사용자가 웹페이지나 메일의 첨부파일을 다운받으며 감염이 되고 네트워크로의 침투가 시작된다. 일단 침투가 되면 감염이 된 것이다. 다음 엔드포인트 단으로 이동하고 엔드포인트마저 뚫리면 C&C서버(중앙 제어 서버)로 통신을 시작하는데 이 부분을 막으면 데이터가 암호화 되는 것은 막을 수 있다. 악성코드에는 감염되었어도 해커들이 비트코인 등의 금품 요구를 하지 못하는 상황이 발생하는 것이다.

▲ 자료=시만텍

침투-감염-통신 세 단계로 이뤄지는 고리 중 한 부분만 막아도 랜섬웨어를 원천적으로 막을 수 있는 것이다. 이를 위해서 시만텍은 ▲운영체제 및 소프트웨어를 가장 최신으로 패치 유지, ▲보안프로그램 최신 버전 유지, ▲URL링크 및 첨부 파일을 포함하고 신뢰할 수 없는 발신자의 의심스러운 이메일 삭제, ▲이메일 첨부 파일이 MS 오피스 파일인 경우 매크로를 활성화하는 것은 주의, ▲ 중요 파일의 경우 백업 등 기본적인 수칙을 당부하고 있다.

윤광택 시만텍코리아 최고기술경영자(CTO)는 “랜섬웨어가 사이버 공격자들의 새로운 골드러시가 되면서 비즈니스 모델로 진화하고 있다”며 “랜섬웨어가 기업을 겨냥해 지능형 공격기법을 적용하고 표적 공격을 확대하고 있음을 고려했을 때, 단순히 랜섬웨어라는 악성코드만 대응하는 것이 아니라 신종 위협을 비롯해 기업 내 전방위적인 악성코드 대응 전략을 수립하는 것이 필요하다”고 말했다.

이어 윤 CTO는 "랜섬웨어가 감염된 뒤 대응방법을 찾는 것보다 감연되지 않도록 하는 것이 최우선이지만 어쩔 수 없는 상황이 있다. 이에 랜섬웨어를 감염시킨 뒤 돈만 챙기고 키값을 주지 않는 먹튀들도 일부 존재한다"며 "이들을 구별할 수 있는 특별한 방법이 없어, 최근 민간 랜섬웨어 대응센터가 많이 생기고 있고 공공단체 차원에서 이런 먹튀들을 선별할 정보 제공이 필요하다"고 덧붙였다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지