워너크라이 등 일파만파 번지고 있는 랜섬웨어 공격으로 전세계가 들썩이고 있다. 최근 국내에서도 랜섬웨어 피해로 데이터가 '납치된' 시스템을 풀어주는 대가로, 가상화폐 비트코인으로 13억원의 몸값을 지불하기로 하면서 큰 화제가 된 바 있다. 디지털투데이는 총 3회에 걸친 랜섬웨어 분석 기사를 통해 시장 상황과 대응책, 그리고 가상화폐 시장과의 연관성을 집중 조명해 본다.<편집자주>

-------------------------------------------------------------------

1. 랜섬웨어 피해 속출하는데...사후대책 마련에만 분주
2. 랜섬웨어 '워너크라이 vs 에레버스' 어떻게 무엇이 다른가
3. '악어와 악어새' 랜섬웨어와 가상화폐는 공생 중

-------------------------------------------------------------------

[디지털투데이 박근모 기자] 지난달에는 워너크라이 랜섬웨어가 글로벌 전역에 큰 피해를 입혔다. 보안업계에 따르면 워너크라이 랜섬웨어는 150여개국 최소 30만대 이상의 컴퓨터 시스템을 마비시켜 피해액만 약 80억달러(한화 약 9조원)에 달한다는 소식이 들려오고 있다. 반면 국내에서 워너크라이 랜섬웨어는 철저한 사전 대비 태세로 글로벌 전역에서 큰 피해를 입은 것에 비하면 상대적으로 무사히 넘어갔다.

이대로 랜섬웨어의 침공을 무사히 넘기는가 싶었지만 지난 10일 이번에는 에레버스라는 랜섬웨어로 인해 국내 중소 웹호스팅 업체가 운영하던 리눅스 운영체제(OS) 서버 300대 중 153대가 감염되는 피해가 발생했다. 리눅스OS 서버를 대상으로 하는 다소 생소한 방식의 랜섬웨어로 인해 미쳐 이에 대한 대비를 하지 못한 탓에 해당 웹호스팅 서비스를 이용하던 3400여개의 웹페이지가 마비되며 큰 피해를 입었다. 여기에 에레버스 랜섬웨어로 피해를 입은 웹호스팅 업체는 암호화된 데이터 복구를 위한 복호화 키값을 놓고 해커와 직접 협상을 통해 13억원에 합의를 한 초유의 사태도 발생했다.

보안업계에서는 기존에 빈번하게 유포됐던 랜섬웨어의 경우 마이크로소프트(MS) 윈도OS 기반이었지만, 이번 에레버스 랜섬웨어의 경우 리눅스OS 기반으로 제작돼 대비할 겨를이 없었다고 어려움을 토로했다. 또한 기존 랜섬웨어의 경우 개인을 타깃으로 한 사이버공격에서 기업을 타깃으로 한 지능형지속공격(APT)으로 변화하는 조짐에 상대적으로 보안에 취약한 중소 규모의 업체들의 보안에 '빨간불'이 켜졌다는 평이다.

차이점 1 - 랜섬웨어 초기 유포 지역과 배후

워너크라이 랜섬웨어의 경우 유럽에서 처음 유포되기 시작됐다. 유럽에서 유포되기 이전으로 거슬러 올라가면 미국 국가안보국(NSA)이 개발한 것으로 알려진 해킹툴 '이터널블루'가 해킹그룹 쉐도우 브로커스에게 탈취 당하면서 해당 해킹 소스 코드를 기반으로 제작된 것으로 알려졌다. 또한 최근 영국 정보국과 NSA에 따르면 워너크라이 랜섬웨어의 배후로 북한을 지목하기도 했다. 또한 쉐도우 브로커스는 NSA와 중앙정보국(CIA)가 제작한 해킹툴을 다수 입수했다며 추가 공개 계획을 밝히기도 했다.

특히 워너크라이 랜섬웨어는 초기 유럽을 중심으로 유포되면서 국내 보안당국과 민간 보안업체들이 워너크라이에 대한 사전 대비를 주말내 철저히 할 수 있는 시간을 벌 수 있었다. 한인수 펜타시큐리티 이사는 "랜섬웨어의 경우 사전 방어가 매우 중요하다"라며 "대부분 취약점을 노리는 형태로 미리 정보를 입수해 대비한다면 알려진 랜섬웨어는 대부분 선제적 방어가 가능하다"고 설명했다.

반면 이번에 대규모 피해를 입힌 에레버스 랜섬웨어는 해외에서 보고된 바가 없어, 사실상 국내 기업만을 타깃으로 한 랜섬웨어라는 주장이 보안업계에서 나오고 있다. 국내에서 처음 발견된 랜섬웨어인 탓에 타깃을 한 취약점을 제때 파악하지 못해 미쳐 대비를 하지 못한 것으로 알려졌다. 더욱이 최근 확인된 바에 따르면 지난해 12월 국내 중소 규모의 또다른 웹호스팅 업체인 와우코리아가 동일한 랜섬웨어인 에레버스의 공격에 당했던 것으로 나타났다. 그 외에도 추가로 소규모 웹호스팅 업체들이 에레버스의 공격에 당한 경우가 발견됐으며, 그 역시 피해 업체가 해커에게 약 7000만원에 달하는 돈을 지불하고 복호화 키값을 받았던 것으로 나타났다.

한국인터넷진흥원(KISA) 관계자에 따르면 당시 랜섬웨어로 인해 신고 접수를 받은 적은 있지만, 곧바로 피해 업체 측에서 해결 완료했다며 조사를 거부해 실질적인 조사에 착수하진 못한 것으로 알려졌다. 이 관계자는 "KISA의 경우 강제적인 조사 권한이 없어, 피해 업체로부터 조사 요청이 접수되지 않으면 지켜볼 수 밖에 없다"고 아쉬움을 토로했다.

최상명 하우리 CERT 실장은 "이번 인터넷나야나 사건을 통해 에레버스 랜섬웨어의 존재가 처음 들어났다"라며 "이번 에레버스 랜섬웨어의 형태를 추적해 올라가다보니 지난해 12월 발생한 랜섬웨어도 에레버스였다는 것을 알게된 것"이라고 설명했다.

이어 "처음 발견했을 당시에 랜섬웨어 분석이 이뤄졌으면 에레버스로 인한 대규모 피해는 미연에 방지할 수 있었을 것"이라며 "에레버스의 배후의 경우 아직 초기 조사 단계로 아직 밝혀진 바는 없다"고 덧붙였다.

차이점 2 - 리눅스OS를 타깃으로 한 랜섬웨어

워너크라이 랜섬웨어는 여타 랜섬웨어와 동일한 윈도OS 기반에서 동작하는 랜섬웨어다. 현재 존재하는 대부분의 랜섬웨어, 특히 국내뿐 아니라 글로벌 전역에서 이름을 떨친 록키, 크립트XXX, 케르베르 등은 윈도OS기반의 PC나 서버를 대상으로 OS 취약점을 노린 형태로 진행됐다. MS가 발견된 보안 취약점을 매달 2번씩 자동업데이트를 통해 제공한다.

하지만 보안 업데이트 지원이 끝난 윈도XP와 같은 구형 OS는 더이상 보안 업데이트가 불가능해 랜섬웨어 공격에 취약하다. 또한 일반 사용자들 중에서는 윈도 보안 업데이트를 귀찮아 하는 경우가 많고, 윈도OS 사용자가 절대 다수인 상황에서 윈도OS을 기반으로 한 랜섬웨어는 꾸준히 개발 중인 것으로 알려졌다.

에레버스 랜섬웨어는 기존의 랜섬웨어와 확연한 차이점으로 리눅스OS를 기반으로 했다는 점을 꼽을 수 있다. 특히 안랩이 지난 12일 공개한 정보에 따르면 파일 형태로 확인된 에레버스 랜섬웨어의 악성코드는 2종으로 각각 리눅스OS 32비트와 64비트를 감염시킬 수 있다.

특히 에레버스 랜섬웨어에 감염되면 암호화된 파일명이 '(알파벳·숫자조합).ecrypt'로 바뀐다. 그 후 '_DECRYPT_FILE.txt'와 '_DECRYPT_FILE.html' 등 2개 파일을 생성한다. 에레버스 랜섬웨어의 암호화 대상 파일은 리눅스 운영체제 내에 존재하는 주요 확장자 파일로 압축파일(tar, gz), 이미지(jpg), 문서(docx), 동영상(mpeg, mkv), 음성(wav, mp3, ogg) 등 총 433종의 파일에 달한다.

안랩에 따르면 에레버스 랜섬웨어는 실행 직후 네트워크 접속 여부와 상관없이 모두 암호화 행위를 수행한다. 즉, 일단 감염이 된다면 인터넷 연결을 끊더라도 서버 내 모든 파일이 암호화되는 것으로 물리적 망분리가 아니고서는 막을 수 없다.

최상명 실장은 "일단 지금까지 나온 정보에 따르면 에레버스 랜섬웨어를 막기 위해서는 사전에 서버 망분리와 데이터 백업이 필수적이다"라며 "인터넷나야나의 경우 망분리에 필요한 자금의 압박으로 망분리를 하지 못해 백업 데이터 모두 랜섬웨어에 암호화가 된 경우"라고 설명했다. 이어 "인터넷나야나뿐만 아니라 국내 중소규모의 웹호스팅 업체의 경우 대부분 망분리를 할 여력이 없는 것으로 안다"고 덧붙였다.

차이점 3 - 해커들이 요구한 랜섬웨어 복구 비용

워너크라이 랜섬웨어의 경우 개인을 타깃으로 한 전형적인 랜섬웨어로 개인당 300달러(한화 약 34만원)에 해당하는 복구 비용을 요구했다. 당시 150여개국 30만대에 달하는 시스템이 랜섬웨어 감염으로 마비됐지만, 워너크라이로 인해 복구 비용을 가상화폐인 비트코인으로 지불된 금액은 14만달러(한화 약 1억5800만원)에 불과했다. 개인의 경우 랜섬웨어에 감염되면 자신의 PC의 파일을 복구하는 대신 포맷 등 보유한 데이터를 포기하는 경우가 많기 때문이다. 상대적으로 데이터의 중요도가 낮다보니 이같은 경우는 빈번하게 발생한다.

이형택 한국랜섬웨어침해대응센터 센터장은 "대부분의 개인 사용자의 경우 랜섬웨어에 감염돼 자신의 PC에 저장된 데이터가 암호화 됐다면, 복호화 키값을 지불하기 위해 문의를 했다가도 비용을 듣고 복구를 포기하는 경우가 많다"라며 "반면 기업의 경우는 내부에 중요 비즈니스 관련 데이터가 있어서 복구 비용이 높더라도 쉽게 포기하지 못한다"고 설명했다.

에레버스 랜섬웨어는 이와 반대로 철저히 기업을 타깃으로 하고 있다. 인터넷나야나의 경우 해커들이 최초 서버 복구 비용으로 약 50억원(서버당 10비트코인, 총 1530비트코인, 1비트코인=약 한화 326만원)을 요구했으며, 인터넷나야나 측의 지불 능력 부족 의사로 인해 최종 약 13억원(397.6비트코인)으로 합의를 이뤘다.

현재 인터넷나야나 측의 공지에 따르면 현재 2차분까지 해커들에게 지급한 상황이며, 전달 받은 복호화 키값을 통해 추가 복구 작업을 진행 중으로 알려졌다. 이번에 인터넷나야나가 해커에게 지불할 13억원은 글로벌 단일 랜섬웨어 침해 사고 중 가장 큰 액수로 알려졌다.

정부 당국과 보안업계에서는 이번 인터넷나야나 사태를 계기로 기업 등 특정 목표를 타깃으로 한 랜섬웨어 등 사이버공격이 증가할 것을 우려하고 있는 것으로 나타났다. 특히 제대로 된 보안 대책 마련이 어려운 중소 규모의 웹호스팅 업체와 기업들이 타깃이 될 것으로 전망돼 이에 대한 대책 마련도 절실한 상태다.

최상명 실장은 "이번 에레버스 랜섬웨어의 경우 리눅스OS를 기반으로 하는 다소 생소한 형태의 랜섬웨어로 사전 대비를 제대로 하지 못했다"라며 "앞으로 이런 형태의 사이버 공격이 다소 발생할 가능성도 있다"고 설명했다.

이어 "물론 특정 분야를 제외한 대부분의 사용자들이 윈도OS 기반을 사용하기 때문에 앞으로도 윈도 기반의 랜섬웨어가 주를 이루겠지만 서버 등에 있어서는 리눅스OS 시스템을 운용 중이기 때문에 보안 솔루션 도입 등 이에 대한 대비가 필요하다"라며 "특히 중요 데이터 백업과 더불어 망분리 시스템을 구축하는 것이 랜섬웨어로 인한 피해를 줄이기 위해 필수적이다"고 덧붙였다.