심각한 사이버 범죄 ‘랜섬웨어 공격’ 기승

심각한 사이버 범죄 ‘랜섬웨어 공격’ 기승

대학생 선플기자단 정혜진

지난 7일 미국에서 석유를 옮기는 데 쓰는 송유관을 가장 많이 운영하고 있는 회사가 랜섬웨어의 공격을 당하는 사건이 일어났던 데에 이어, 아일랜드의 의료 전산 시스템도 심각한 랜섬웨어 공격을 받고 시스템 운영을 중단하는 일이 발생했다. ‘랜섬웨어’란 ‘몸값(ransom)’과 ‘소프트웨어(software)’를 합해 만든 합성어로, 컴퓨터 시스템을 잠그거나 데이터를 암호화해 사용자가 시스템을 사용할 수 없게 만든 뒤 암호를 풀어주는 대가로 금전을 요구하는 악성 프로그램이다. 즉 사용자의 PC를 인질로 삼는 보안공격이자, 타겟이 되는 대상이 누구인지에 따라 사회에 엄청난 악영향을 미치게 될 수 있는 중대한 사이버 범죄인 것이다. 

최근 코로나 19 바이러스로 인해 모든 분야에서의 오프라인 활동이 제한되고 원격 근무와 사물인터넷(IoT), 자율주행 자동차, 스마트 팩토리 시대가 본격적으로 진행됨에 따라 랜섬웨어와 관련된 사이버 범죄는 더욱 증가하는 추세를 보이고 있다. 보안업계의 발표에 따르면 지난 해 새롭게 발견된 랜섬웨어 공격만 90개에 이를 정도로 그 수법이 다양하게 진화하고 있으며, 해커들의 랜섬웨어 공격 범위와 그 피해규모 역시 커지고 있다고 한다.

랜섬웨어의 공격을 받은 미국 송유관 회사

랜섬웨어 공격을 당한 미국 송유관 회사 ‘콜로니얼 파이프라인’은 텍사스 주 걸프만에서 동부 뉴저지주까지 무려 8850km의 송유관을 운영하며 미국 동부 해안 일대 석유 공급의 45%를 책임지고 있다. 이는 서울에서 부산을 10번 왕복하는 거리로, 빠른 시스템 복구가 이루어지지 않으면 주유소의 기름 공급과 공장 가동에도 모두 문제가 생겨 약 5,000만 명이 피해를 볼 수 있는 규모였다. 기름 공급이 어려워지자 미국 교통부에서는 석유 긴급 수송을 위해 텍사스, 뉴욕 등 17개 주와 워싱턴 D.C 등 18개의 행정구역에 비상사태를 선언하기도 했다. 랜섬웨어로 인해 콜로니얼 송유관 시스템 가동이 6일동안 중단되면서 남동부 지역에서는 극심한 휘발유 ‘사재기’ 현상이 나타났다. 휘발유 소비자 가격이 7년 만에 갤런 당 3달러를 돌파하고, 노스캐롤라이나주 웨이크 카운티에 있는 주유소에서는 새치기를 하려던 사람 때문에 난투극이 발생하는 등 콜로니얼 랜섬웨어 피해로 해당지역은 큰 혼란을 겪기도 했다. 

다급한 상황 속에서 해커 추적이 어렵자 결국 콜로니얼은 해킹 범죄 단체가 요구한 500만 달러(약 56억 7,000만원)를 비트코인(가상화폐)으로 지급하였다. 요구했던 금액을 지불 받은 해커 단체는 콜로니얼 파이프라인의 컴퓨터 네트워크를 복구할 수 있는 복호화 툴을 보내주었지만, 이 툴의 작동이 너무 느려 콜로니얼 측은 시스템 복구를 위해 자체 백업을 계속해서 활용했다고 알려졌다. 일반적으로 FBI에서는 ‘랜섬웨어 공격을 통해 돈을 벌 수 있다’는 나쁜 선례를 남길 수 있다는 점에서 해킹 피해자들에게 몸값을 지불하지 말라고 권고한다. 하지만 앤 뉴버거 백악관 사이버·신흥기술 담당 국가안보 부보좌관은 "콜로니얼은 민간 기업"이라며 "지급 여부에 관해 아무런 조언을 하지 않았다"고 말했다. 미국의 바이든 대통령은 이번 사건에 대해 “이대로 넘어갈 수 없다”며, 앞으로 다른 시설도 랜섬웨어 공격을 당하지 않도록 정부 차원에서 엄격히 대응하겠다는 입장을 밝혔다. 

범인은 다크사이드?

콜로니얼 파이프라인에게 랜섬웨어 공격을 가한 범인은 해킹 조직 ‘다크사이드’로 추정되고 있다. 다크사이드는 작년 8월부터 주로 기업에 랜섬웨어 공격을 해온 조직으로, 이번 사건에 대해서도 자신들이 해킹 공격을 벌였음을 암시하는 성명을 올리기도 했다. 이에 FBI와 국토안보부의 CISA는 다크사이드에 대한 추가정보를 공개하였다. 이 내용에 따르면 다크사이드는 산업시설이나 사회 기반 시설에 대한 공격을 자주 실행하는 조직으로, 올해 초에도 이미 브라질의 전기 공급 조직인 엘렉트로브라스(Electrobras)와 코펠(Copel)을 마비시킨 전적이 있는 것으로 밝혀졌다. 다크사이드는 2020년 8월에 처음 등장하여 그동안 약 15개 국가에서 피해를 일으켰다. 이들은 NGO나 교육기관, 사법기관들은 주요 표적에서 제외시키고, “우리는 사회적 물의를 일으키지 않고 돈을 번다”는 글을 게시하는 등 일반적인 랜섬웨어 조직과는 다른 특징을 보인다. 그러나 이번 콜로니얼 사건에서는 “돈을 받아야 한다는 필사적인 느낌은 전혀 없었으며, 공격을 성공시켰다는 것 자체만으로 만족한 듯 보일 정도였다”는 보도가 이어지고 있다. 랜섬웨어 공격이 온전히 다크사이드의 의도였는지, 혹은 다크사이드의 외부적 파트너가 다크사이드의 통제권 밖에서 벌인 일인지에 대해서는 정확히 밝혀진 바가 없어 이번 사건에 대한 큰 의문점으로 제기되고 있다. 

러시아 또는 동유럽을 기반으로 한다고 알려진 다크사이드는 2020년 10월, 피해자로부터 받은 2만달러를 자선단체에 기부하기도 했지만 이 자선단체에서는 “범죄와 관련된 돈은 받지 않을 것”이라고 밝혔다. 일각에서는 이러한 행보를 보이는 다크사이드를 ‘해커 계의 로빈후드’라고 평가하기도 한다. 그러나 다크사이드를 추적해 온 현지 보안 전문가들은 이들을 “최대한 많은 돈을 빼내는 것을 목표로 하는 베테랑 사이버 범죄자들일 뿐”이라고 일축했다. 주요 표적을 기업으로 한정한 것 역시 해킹 공격으로 인해 사회적 비난을 받거나 추적당할 우려가 있는 곳은 배제시키고 있는 것으로 분석된다. 

랜섬웨어 감염 경로

  랜섬웨어는 모바일과 macOS뿐만 아니라 현존하는 거의 모든 운영 체제에서 활동하기 때문에 누구든지 랜섬웨어 공격의 위협에 항상 노출되어 있을 수 있다. 비전문가들 사이에서 랜섬웨어는 인터넷 접속으로 감염된다고 잘못 인식되고 있는 경우가 많다. 그러나 랜섬웨어는 컴퓨터의 하드웨어나 소프트웨어를 파괴하고 데이터를 망가뜨리는 악성코드와 달리 데이터를 공격하는 것으로, 다양한 감염 경로를 통해 해킹 피해를 입히게 된다. 주된 감염 경로로는 해외 무료 TV 다시보기 사이트 방문에 의한 감염, 웹하드/토렌토 등의 P2P 사이트 등에서 파일을 PC에 다운로드하고 그것을 실행할 때 발생하는 감염, 그리고 최근에는 이메일 첨부파일에 의한 감염 등이 있다. 랜섬웨어에 감염이 되면 일시에 피해자의 모든 컴퓨터 파일을 암호화 시키는 것을 시도하기 때문에 CPU, 하드디스크, 메모리 등에 큰 부담을 주게 되고, 따라서 치료를 한 후에도 컴퓨터 성능의 90% 이상이 저하된다. 

랜섬웨어 대응책 마련을 통해 비즈니스 연속성 유지 필요

과거에는 랜섬웨어 공격자나 제작자가 개인인 경우가 많았으나, 최근에는 거대 조직을 중심으로 해커들이 모이기 시작하면서 공격자 집단의 규모가 점차 확대되고 있다. 여러 랜섬웨어 공격조직이 ‘카르텔’이나 ‘갱단’ 형식으로 협정을 맺고, 대기업을 상대로 돈을 받아내는 경우도 많아져 그만큼 대응이 어려워졌다. 또한 랜섬웨어 공격자들은 자신의 공격 전략이 드러나 추적될 가능성이 높아지면 공격 중단을 선언하고, 다른 공격 전술을 개발해 새로운 이름으로 등장하기도 한다. 컨설팅 업체인 크롤은 “암호를 푸는 대가로 기업이 돈을 지급하더라도 해커들이 사전에 훔친 데이터를 내밀며 추가로 돈을 요구하는 경우가 늘고 있다”고 밝혔다. 

랜섬웨어 공격을 막기 위한 단 하나의 방법은 존재하지 않는다. 현재로서는 백신을 포함한 모든 소프트웨어를 수시로 업데이트 하고, 중요 자료를 정기적으로 백업하는 것 이외에는 뾰족한 대안이 나오지 않고 있다. 그럼에도 불구하고 비즈니스 연속성 전략을 구축하기 위해 사이버 공격을 방어할 수 있는 체계를 만들고, 보안 시스템을 도입하며 보안 전담 조직을 강화할 필요성이 강조된다. 특히 사이버 보안 대책이 충분히 마련되어 있지 않은 분야의 경우 보안 전담 조직을 구성해 시스템 전체의 가시성을 확보하고, 지속적으로 이상행위를 탐지하며 취약점을 제거하는 노력이 필수적이다. 

FBI와 CISA는 랜섬웨어를 방지하기 위해 각 기업 및 조직들의 IT와 OT 네트워크를 분리하고, 이 분리된 망들을 잘 관리하는 것이 중요하다고 말하며 보안 실천사항을 강조하기도 했다. 또한 FBI와 CISA는 가장 민감할 수 있는 데이터를 항상 모니터링하는 것도 중요하다고 짚었다. 최근의 랜섬웨어 사건은 데이터 탈취를 동반하고 있기 때문에 “보안 팀들은 중요 정보들이 어디에 저장되어 있고, 어떤 식으로 누구에 의해 활용되는지, 어떤 방식으로 교류되는지를 다 알고 있어야 한다”며 이것이 데이터 탈취를 막는 첫 걸음이 된다고 이야기했다. 

마찬가지로 개인이 랜섬웨어를 예방하기 위해서도 백업과 보안조치를 철저히 하며 PC의 보안관리를 철저히 해야 한다. 무료 백신에도 랜섬웨어를 차단할 수 있는 감시 기능이 탑재되어 있으므로 백신 프로그램을 설치하여 수시로 점검하며 미리 랜섬웨어 예방에 힘써야 한다. 사이버 범죄가 갈수록 지능화되고 있는 만큼 사용자의 PC에 최적화된 보안 프로그램을 사용하고, 인터넷 사용을 주의함으로써 사이버 범죄의 위협으로부터 한 걸음 멀어질 수 있다. 

 

랜섬웨어 감염 시 대응

​1) 증상 확인하기

2) cyber.go.kr / boho.or.kr 등으로 신고하기.

3) 백업된 파일이 있는 경우 PC 포맷하여 데이터 복구.

4) 백업된 파일이 없는 경우 www.nomoreransom.org 또는 공개용 랜섬웨어 복구 도구를 활용.