[폰을지켜라]'돈'되는 랜섬웨어…쏟아지는 신종·변종

상반기 '록키' 'CryptXXX' 등 활개
돈받고 랜섬웨어 제작해주는 사례도 등장

랜섬웨어 월별 침해 통계(출처 = 랜섬웨어침해대응센터)

[아시아경제 한진주 기자] 랜섬웨어 신종·변종이 나날이 증가하면서 랜섬웨어에 감염되는 이용자들도 급증하고 있다. 악성코드 제작자들도 단기간에 직접적인 금전적 이익을 확보할 수 있다는 점 때문에 랜섬웨어로 몰려들고 있다.

25일 랜섬웨어침해대응센터에 따르면 랜섬웨어 피해자가 지난해 상반기 552건에서 올 상반기 기준 2019건으로 3.7배가 증가했다.

랜섬웨어란 이용자의 PC나 모바일에 저장된 데이터에 접근할 수 없도록 막고 금전을 요구하는 공격 기법을 말한다. 내부 문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 만든다.

올해 상반기에만 50개가 넘는 랜섬웨어가 등장했다. 안랩 시큐리티대응센터 조사 결과 올해 상반기 발견된 랜섬웨어는 1분기에 25개, 2분기에 27개로 총 52개였다.

록키 랜섬웨어를 다운로드하는 JS 파일이 포함된 스팸 메일의 첨부 파일(출처=안랩)

◆올 상반기 등장한 랜섬웨어들= 테슬라크립트는 주로 보안이 취약한 사이트에 취약점을 발생시키는 코드를 삽입해 감염시키는 익스플로잇 킷(Exploit Kit)을 활용하는 기법이다. 2.0 버전은 파일의 확장명에 .aaa, .abc, .ccc, .vvv 등을 추가하고, 3.0 버전은 .xxx, .ttt, .micro, .mp3 등을 추가했으나 4.0 버전에서는 확장명을 바꾸지 않아 감염 사실을 알아차리기 힘들다. 특히 2월에는 스팸 메일에 첨부된 zip 파일 내부에 JS(Java Script) 파일이 포함되어 유포된 사례가 발견됐다.

2016년에 발견된 악성코드 중에서는 '록키(Locky)'가 전세계에서 악명을 떨쳤다. 2016년 2월에 발견된 록키 랜섬웨어는 감염되면 파일의 확장자에 .locky가 추가되는 것이 특징이다. 스팸 메일에 악성 매크로가 포함되어 있는 문서 파일(.doc 등)을 첨부한 형태가 주를 이뤘고, 3월부터 최근까지는 JS 파일을 이용해 유포되기도 했다. 3월 말부터는 한글 파일(.hwp)이 암호화 대상에 포함됐다.

지난 4부터 발견되기 시작한 크립트엑스엑스엑스(CryptXXX)는 갑자기 광범위하게 유포되면서 그 세력을 넓혀가고 있다. 주로 플래시나 인터넷 익스플로러의 취약점을 악용한 익스플로잇을 통해 유포됐다. 지난 6월 초 국내 유명 대형 커뮤니티를 통해 유포되면서 많은 피해가 발생했다. 특히 테슬라크립트와 마찬가지로 한글 파일(.hwp)이 암호화 대상에 포함되어 있어 주의가 요구된다.

최근에는 돈을 주면 랜섬웨어를 제작해주는 'RaaS(Ransomware as a Service)'도 등장했다. 프로그래밍을 모르는 단순 초보자도 돈만 내면 쉽게 랜섬웨어를 만들고 유포하고 관리할 수 있게 된 것. RaaS로 제작된 랜섬웨어로는 랜섬32, 크립토락커, 페트야의 변형인 미샤 등이 있다.

RaaS 제작 서비스를 제공하는 미샤 랜섬웨어(출처=안랩)

◆유포 목적은 오로지 '돈'= 랜섬웨어가 활개를 치는 이유는 직접적으로 수익을 확보할 수 있다는 점 때문이다. 피해자 입장에서는 가치가 큰 정보가 암호화되면 난처해지기 마련이다. 랜섬웨어 제작자들은 이 점을 노려 피해자들에게 직접 비트코인을 결제하라고 요구한다. 공격자들은 보안업체들의 대응은 곧 수익 감소의 원인이 되므로 감염 기법을 끊임없이 바꿔나가고 있다.

랜섬웨어 제작자들은 얼마나 돈을 벌까. 크립토월 3.0의 제작자는 전세계적으로 3.25억 달러(한화 3900억 원)를 탈취한 것으로 추정된다. 2015년 1월에 크립토월 3.0이 발견되어 10월에 해당 보고서가 발간되었기 때문에, 크립토월 3.0은 한 달에 약 350억 원 이상의 범죄 수익을 발생시킨 것이다.

랜섬웨어 대응방법은 ▲윈도우 최신 버전 설치 ▲마이크로소프트(Microsoft)의 윈도우 보안 업데이트 적용 ▲인터넷 익스플로러가 아닌 엣지(Edge), 크롬(Chrome), 파이어폭스(Firefox) 등 다른 브라우저 사용 ▲인터넷 브라우저, 자바, 플래시 플레이어의 최신 버전 사용 ▲자바, 플래시 플레이어가 반드시 필요하지 않으면 가급적 PC에서 제거 ▲주기적인 데이터 백업 등이다.

랜섬웨어 침해대응센터 관계자는 "랜섬웨어는 악성코드 역사상 최초로 ‘돈되는 바이러스’이기 때문에 빠른 속도로 다양한 형태의 변종이 등장하며 스미싱과 보이스피싱처럼 사회 전반을 위협하고 있다"며 "백신 업그레이드, 보안패치와 백업의 생활화 등 기본적인 사전 예방이 무엇보다 중요하다"고 말했다.

한진주 기자 truepearl@asiae.co.kr