29일ㅊ 업계에 따르면 최근 클리앙, 시코, 디씨인사이드 등 국내 온라인 커뮤니티의 광고 서버를 통해 랜섬웨어 ‘크립토락커’가 유포됐다. 랜섬웨어란 납치된 사람의 몸값이란 뜻의 랜섬(Ransom)과 스파이웨어의 합성어다. 타인의 PC자료를 암호화해 열 수 없게 만들고 해당 PC의 주인에게 암호화 해제 대가로 금품을 요구하는 악성코드다.

 

랜섬웨어에 많은 이용자들이 감염됐다. 감염된 PC사용자들이 암호화 해제를 하기 위해서는 1.84338 비트코인(한화 약 44만원)을 크립토락커 측이 명시한 비트코인 주소로 송금해야 했다.

 

 

해커들이 돈을 받는 방법으로 비트코인을 택한 것은 비트코인의 익명성 때문이다. 우선 비트코인 주소는 소유자의 정보를 기록해두지 않는다. 게다가 이용자는 비트코인 주소를 제한 없이 생성해 보유할 수 있다. 즉 해커가 송금을 한 번 씩 받을 때마다 서로 다른 주소로 비트코인을 받아 추적을 피할 수 있다는 것이다.

 

크립토락커를 제작한 해커들은 토르(Tor) 웹브라우저까지 사용했다. 토르 웹브라우저는 여러 단계의 노드(지역 네트워크에 연결된 컴퓨터와 그 안에 속한 장비)를 거쳐 전 세계 토르 이용자들의 IP주소를 빌려 쓸 수 있게 한다. 전세계 IP를 계속 바꿔쓰다보니 실제 이용자 IP는 알아내기 어렵다. 비트코인 거래는 빠짐없이 기록되고 누구든지 볼 수 있다. 거래 내역에는 거래자의 IP주소도 기재되는데 이를 통한 추적을 막기 위함이다.

 

분명 비트코인을 악용하고 있는 해커를 추적하는 것은 어렵다. 반면 이 사태를 막는 것은 간단하다. 문제가 된 마이크로소프트(MS)의 인터넷 익스플로러(IE)를 업그레이드 하고 보안을 강화하는 것이다. 크립토락커는 구버전의 IE와 어도비 플래시 플레이어의 보안 취약점을 노린 것이다. 윈도 업데이트를 통해 보안 패치를 꾸준하게 했다면 문제 되지 않는다.

 

실제로 IE11, 크롬, 스윙, 파이어폭스 등 다른 웹브라우저 이용자들은 크립토락커의 갈퀴를 피해갈 수 있었다.

 

 

보안 프로그램 사용도 마찬가지다. 일부 보안 프로그램이 크립토락커를 감지하지 못한 경우도 있지만 MS의 윈도 디펜더(구 MSE)는 정상적으로 차단한 것으로 나타났다. 윈도 디펜더는 윈도에 내장된 무료 백신이다. 별도의 보안 프로그램을 설치하지 않았더라도 윈도 디펜더를 사용한 이용자들은 크립토락커의 피해를 받지 않았다.

 

클라우드월렛 김종환 이사는 “랜섬웨어는 IE6, 7등 구버전 사용률이 높고 보안의식이 취약한 국내 환경을 노린 바이러스기 때문에 버전관리나 기본적 보완조치만 한다면 문제될 것이 없다”며 “범죄에 쓰인 도구, 비트코인의 문제라기보다는 범죄가 일어난 환경, 보안의 취약성이 랜섬웨어 활성화의 먹이가 됐다”고 표현했다.