올해 보안업계가 주목하는 이슈 중 하나는 랜섬웨어(ransom ware)다. 랜섬웨어는 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성코드를 말한다.
세계 각국에서 3∼4년 전부터 기승을 부리기 시작한 랜섬웨어는 올해도 각종 변종을 양산하며 이용자의 PC를 노릴 것으로 예상된다. 특히 의뢰인의 주문을 받아 제작을 대행해주는 서비스형 랜섬웨어(RaaS)는 해커들의 무차별 공격 카드가 될 것으로 우려된다.
12일 보안업체 이스트소프트에 따르면 지난해 백신 프로그램 '알약'이 사전 차단한 랜섬웨어 공격은 398만건으로 조사됐다. 시간당 평균 차단 건수는 454건에 달한다. '알약'을 사용하지 않는 PC에 대한 공격까지 고려하면 랜섬웨어 공격 시도는 이보다 많을 것으로 추정된다.
'알약'이 확인한 랜섬웨어 신·변종은 한 달 평균 2천345건에 이른다. 매달 2천건이 넘는 랜섬웨어가 새로 등장한 셈이다.
랜섬웨어가 급증한 배경에는 서비스형 랜섬웨어가 있다.
인터넷진흥원에 따르면 지난해 하반기 확인된 랜섬웨어의 52%는 서비스형 랜섬웨어로 많이 제작되는 케르베르(cerber)였다.
서비스형 랜섬웨어는 전문 대행업자가 의뢰인의 주문을 받아 대신 제작한 랜섬웨어를 일컫는다.
대행업자는 단순 제작부터 유포와 사후 관리까지 다양한 옵션을 제시하며 고객 모집에 열을 올린다. 대행업자들은 피해자가 '몸값'을 지불하면 수익의 일부를 가져가거나 의뢰인으로부터 정해진 비율의 수수료를 받는 방식으로 이득을 취한다.
랜섬웨어 거래는 인터넷 암시장인 다크웹(다크넷)에서 주로 이뤄진다.
토르 등 특정 브라우저로만 접속이 가능한 다크웹에서는 랜섬웨어 제작 도구(툴)도 사고팔 수 있다. 북한의 해커 조직은 최근 상용화된 제작 툴을 활용해 랜섬웨어 공격을 준비 중인 것으로 알려졌다.
최근 서비스형 랜섬웨어는 더 많은 고객을 끌어들이기 위해 공격 방식을 진화시키고 있다.
보안업체 하우리 최상명 실장은 "보통 동일한 키(key)를 이용해 암호를 걸고 푸는데 암호를 거는 키와 푸는 복호화 키가 다르면 풀기가 어렵다"며 "최근에는 이러한 비대칭 알고리즘을 이용한 서비스형 랜섬웨어가 늘고 있다"고 말했다.
지난해 유행한 케르베르 랜섬웨어는 보안 솔루션의 코드 분석을 지연시키거나 인터넷 연결 없이 파일을 암호화하는 방식으로 피해자를 양산했다.
올해도 랜섬웨어의 기세가 꺾이지 않을 것으로 예상된다.
주문 제작 시스템이 성행하는 데다 투자 대비 수익이 높은 것으로 알려지면서 금전적 이득을 노린 공격이 기승을 부릴 것이라는 관측이다.
인터넷진흥원은 특히 탄핵 심판과 특검 수사 등 사회·정치적 이슈를 이용한 이메일 등을 통해 대규모 유포가 늘 것으로 우려했다.
인터넷진흥원 관계자는 "서비스형 랜섬웨어의 등장으로 전문 지식이 없더라도 랜섬웨어를 유포할 수 있게 됐다"며 "서비스형 랜섬웨어가 지속해서 업데이트되면서 공격 방식도 꾸준히 진화할 것"이라고 내다봤다.
보안 전문가들은 랜섬웨어 피해를 예방하려면 중요한 파일은 수시로 백업하고, 보안 솔루션도 최신 버전으로 업데이트해야 한다고 조언한다. 특히 출처가 불분명한 첨부 파일이나 링크는 실행하지 않는 것이 바람직하다.