[아이티투데이 이경탁 기자] 보안업계와 랜섬웨어와의 전쟁은 흡사 각국 정부가 범죄 및 테러 조직과 붙는 모습과 유사하다. 아무리 추적하고 없애도 새로운 방법으로 끊임없이 나타난다. 랜섬웨어와 이를 잡기 위한 보안업계의 대결은 더욱 뜨거워질 전망이다.

25일 보안업계에 따르면 특히 한국은 전 세계에서 세 번째로 해당 랜섬웨어 유포 시도가 가장 많이 탐지된 국가였다. 사이버보안의 골치덩어리인 ‘랜섬웨어’를 잡기 위해 보안 업계는 랜섬웨어에 대한 기술 연구를 강화하고 있다. 

랜섬웨어란 몸값을 뜻하는 ransom(랜섬)과 제품을 뜻하는 ware(웨어)의 합성어로 랜섬웨어에 한번 감염되면 해결 방법이 거의 없다. 해커들이 다양한 경로로 컴퓨터에 몰래 악성코드를 설치, 사용자의 문서 및 중요 데이터를 암호화하여 파일을 인질로 붙잡고 돈을 요구한다.

체크포인트는 지난 24일 세계 최대 랜섬웨어 ‘서버(cerber)’의 자금 경로 추적 성공했다고 밝혔다. 서버는 더 많은 잠재 해커들의 관문이다. 서버는 기술지식이 없는 개인과 집단들이 고수익 사업에 참여하게 할 뿐 아니라 독립적인 캠페인을 운영할 수 있게 해준다.

이 과정에서 배정된 일련의 명령과 통제 서버와 12개의 언어가 가능한 편리한 제어패널을 사용한다. 서버 관련조직들은 돈세탁을 성공적으로 해내고 있다. 서버는 흔적을 없애기 위해 비트코인을 사용하고 있으며 피해자로부터 돈을 수신하는 데 특화된 독특한 월렛을 사용한다.

▲ 해커들이 다양한 경로로 컴퓨터에 몰래 악성코드를 설치, 사용자의 문서 및 중요 데이터를 암호화하여 파일을 인질로 붙잡고 돈을 요구한다 (사진=픽사베이)

체크포인트는 서버가 개발한 복잡한 시스템맵과 글로벌 유통 인프라스트럭처를 파악해왔다. 연구원들이 실제 피해자 월렛을 생성할 수 있었기 때문에 프로젝트팀은 지불과 거래상황을 모니터할 수 있었고 멀웨어와 돈의 흐름으로 확보된 수입을 추적할 수 있게 됐다.

체크포인트 연구 및 개발 부문의 마야 호로비츠 그룹 매니저는 “이번 조사로 커져가는 랜섬웨어 서비스 산업의 특성과 전세계 공격 대상에 대해 파악할 흔치 않은 기회를 가졌다”고 전했다.

파이어아이도 이달 들어 록키(Locky) 랜섬웨어를 유포하는 대량의 이메일 공격을 포착했다고 지난 24일 밝혔다. 파이어아이는 이달부터 록키 랜섬웨어가 DOCM 포맷의 첨부파일을 통해 대량으로 유포되기 시작한 정황을 포착했다.

이번 공격은 지난 3월에 이뤄진 대규모 공격과 비교하여 공격 기법적으로 변화된 것으로, 당시 록키 랜섬웨어는 일반적으로 자바스크립트 기반 다운로더를 통해서 유포돼 시스템을 감염시켰다.

전수홍 파이어아이코리아 대표는 “록키 랜섬웨어가 또 다시 대량으로 유포되기 시작했다. 특히 한국은 이번 공격의 집중 타깃 국가가 됨에 따라 각별한 주의가 필요하다”며 “이메일 내 첨부파일을 열기 전에 항상 주의를 기울여야 한다는 랜섬웨어 예방의 기본적인 수칙은 아무리 강조해도 지나치지 않는다. 함부로 이메일 첨부파일을 실행할 시 랜섬웨어 감염의 위험에 처할 수 있음은 물론 나아가 기업의 비즈니스에 치명적인 피해를 입을 수 있다는 것을 명심해야 한다”고 말했다.

▲ 25일 보안업계에 따르면 특히 한국은 전 세계에서 세 번째로 해당 랜섬웨어 유포 시도가 가장 많이 탐지된 국가였다 (자료=파이어아이)

국내 대표 보안업체 안랩은 랜섬웨어의 일종인 ‘CryptXXX(크립트엑스엑스엑스) 2.x’버전에 의해 암호화된 문서를 복구할 수 있는 복구툴을 자사의 ‘안랩 랜섬웨어 보안센터’에서 무료로 제공하고 있다.

랩이 제공하는 복구툴로 복구 가능한 파일형식은 hwp, doc, ppt, xls, jpg, gif, bmp, avi, mp4 등 75개이다. 특히, 안랩은 국내에 사용자는 많지만 타사의 ‘CryptXXX 복구 툴’에서는 복구를 지원하지 않는 ‘한글(.hwp)’파일에 대한 복구 기능도 제공한다.

한편, 시만텍의 최신 랜섬웨어 보고서에 따르면 신규 랜섬웨어 패밀리는 지속해서 증가하고 있고 지난해 동안 100개의 신규 랜섬웨어 패밀리가 발견되며 사상 최대치를 기록했다. 시만텍 인터넷보안위협 보고서(ISTR) 제 21호에서는 작년 국내에서 발견된 랜섬웨어 공격이 4천4백건 이상으로 조사됐다.

박희범 시만텍코리아 대표는 “오늘날 기업들은 어느 때보다도 랜섬웨어 등 신종 보안위협에 대해 인지하고, 그에 대응할 수 있는 능력을 갖추는 것이 요구되고 있다”며 “기업을 겨냥한 표적 공격은 복잡하고 시간도 많이 걸리지만 성공 시 수 천대의 컴퓨터를 감염시킬 수 있어 경제적인 손실과 평판에 상당한 피해를 입힐 수 있다”고 설명했다.

키워드

#보안 #랜섬웨어 #서버
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지