[아이티투데이 성상훈 기자] 지난해 까지만 해도 해외에서만 피해사례가 보고됐던 '랜섬웨어'가 국내에서도 빠른속도로 퍼지고 있다. 특히 한글화까지 해가며 국내를 타깃으로 한 '크립토락커', '토렌트락커' 등 변종 랜섬웨어들도 속속 발견되고 있으며 최근에는 디도스 공격 기능이 추가된 변종 크립토락커까지 발견됐다.

2일 글로벌 보안 기업 시만텍이 제공한 자료에 따르면 APJ 지역에서 가장 널리 퍼져 있는 변종 크립토락커(Trojan.Cryptolocker.F)는 한국이 감염률 70%로 가장 높은 것으로 나타났다. 2위인 말레이시아(15%)와 3위인 일본(14%)에 비해서도 압도적으로 높다.

APJ 지역 Trojan.Cryptolocker.F 감염률 추이 <자료=시만텍 블로그>

토렌트락커 역시 PC의 IP 위치에 따라 접속 국가를 자동으로 구분하면서 각각 한국어와 일본어, 영어로 협박 메세지를 보낸다. 국내에서도 실제 피해사례가 속속 보고되는 등 심각성은 날이 갈수록 그 정도가 심해지고 있다.

랜섬웨어(Ransomware)란 몸값을 뜻 하는 ‘랜섬(Ransom)’ 과 ‘소프트웨어(Software)’의 합성어로, ‘파일을 인질로 잡아 금전(몸값)을 요구하는 소프트웨어’란 의미이다.

랜섬웨어에 감염되면 사용자 컴퓨터에 저장된 문서, 그림 파일 등에 암호가 걸려 해당 자료들을 열지 못하게 된다. 스마프폰의 경우, 앱의 사용이나 스마트폰 기본 기능을 사용하지 못하게 하는 경우도 있다. 이후 공격자는 피해자에게 암호화 된 자료를 해독할 수 있는 열쇠 프로그램을 전송해 준다며 대가를 요구한다.

■랜섬웨어 피해 급증왜?

랜섬웨어 감염률이 급격히 높아진 것은 국내 이용자들의 보안대처 수준이 다른 국가에 비해 현저히 낮다는 점에서 출발한다.

랜섬웨어는 이메일로 전파되어 감염되는 경우가 상당 비중을 차지한다. 하지만 국내 기업이나 개인 사용자들은 이메일 보안 솔루션 도입에 상당히 인색한 편이다.

IT서비스 업체 다우기술이 지난 2월 국내 IT 기업 230개사를 상대로 자체 조사한 결과에 따르면 응답자 60% 기업이 메일보안 솔루션을 도입하지 않았고, 도입한 기업의 40%도 제한적인 기능의 노후된 솔루션을 사용하고 있다. 보안이 중요하다고 인식은 하고 있어도 실제 대처는 미숙하다는 의미다.

국내 기업 및 개인의 불법 소프트웨어 사용률도 38%로 OECD 국가 최고 수준이다. OECD 평균 수치(25%)를 한참 웃돌고 있으며 이 수치는 지난해부터 낮아지지 않고 있다.

국내 IT 커뮤니티 '클리앙'에 드라이브 바이 다운로드 방식으로 배포된 랜섬웨어 피해 화면

랜섬웨어는 기본적으로 소프트웨어의 보안 취약점을 파고든다. 소프트웨어 보안 업데이트가 최신 상태로 유지되어 있지 않다면 이전에 지적된 취약점에 그대로 노출되어 있는 것과 마찬가지다. 하지만 국내 사용자들은 유독 소프트웨어 보안 업데이트에도 적극적이지 않다고 전문가들은 입을 모은다.

실제 랜섬웨어 피해자들은 자신의 데이터를 복구하기 위해 공격자가 요구하는 방식으로 송금을 하지만, 송금을 한다 하더라도 데이터를 복구할 가능성은 거의 제로(0%)에 가깝다.

글로벌 보안기업 한 관계자는 "공격자가 데이터를 복구해준 사례도 극히 드물기 때문에 랜섬웨어에 감염되면 데이터는 거의 포기해야 한다"며 "일부 랜섬웨어는 데이터 백업 복구를 통해 되돌릴 수 있지만 최근 감염되는 변종 랜섬웨어의 경우 백신조차 우회하는 고성능도 있어 복구 자체가 불가능한 경우도 많다"고 설명했다.

■대부분 스팸메일 통해 확산, 예방 방법은?

따라서 랜섬웨어에 감염되지 않으려면 소프트웨어를 최신 상태로 항상 업데이트 해 두는 것이 중요하다. 이와 더불어 중요한 파일은 반드시 제3의 저장장치에 백업을 해두는 것을 권한다.

국내 보안기업 안랩은 랜섬웨어 대부분 스팸메일을 통해 확산되기 때문에 출처가 불분명하거나 알고있는 출처의 이메일이라도 스팸성으로 의심되는 경우 메일이나 첨부파일 실행을 자제하고 삭제하는 것이 좋다고 강조한다.

중요한 문서는 '읽기 전용'으로 설정하는 것도 예방에 도움이 될 수 있다. 대부분의 랜섬웨어는 파일을 수정하면서 암호화를 시도하기 때문에 중요 파일을 수정/편집한 후에는 '읽기 전용'으로 속성을 변경해 놓으면 일부 랜섬웨어에 의한 파일 수정(암호화)을 막을 수 있다.

안랩 ASEC대응팀 박태환 팀장은 "랜섬웨어에 의해 암호화된 파일은 다시 복구 되기 어렵고 피해자가 공격자의 요구에 따라 대가를 지불하여도 파일 복구가 된다는 보장이 없다"며 "백신 설치 및 실행과 같은 기본 수칙 외에, 사용자가 스스로 간단하게 지킬 수 있는 랜섬웨어 예방 수칙을 생활화 하는 것이 중요하다"고 당부했다. 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지