랜섬웨어의 역사: 과거, 현재, 그리고 미래

사이버 공격의 대세로 자리 잡은 랜섬웨어. 이 글에서 세계를 떠들썩하게 만든 이 악성 프로그램의 역사를 짚어보고, 지난 수년간 어떻게 진화해 왔는지를 알아보고자 한다.

2017년 5월, 워너크라이(WannaCry) 사건은 전 세계 모든 뉴스 일면을 장식하며, 랜섬웨어 역사의 새로운 획을 그었다.

랜섬웨어는 사이버보안과 기술 분야가 이미 오래전부터 주시하던 악성 프로그램이었다. 특히 지난 10년간 랜섬웨어는 감염성이 높을뿐더러, 이제는 세계 어디서나 존재하는 사이버 위협으로 자리 잡아 왔다. 미국 정부 통계에 따르면 2005년부터 랜섬웨어 공격 건은 온라인 데이터 침해 건을 앞질렀으며, 이로써 사이버보안 최고의 골칫덩이로 부상했다.

사실 이전까지는 랜섬웨어 공격의 규모가 그다지 세계가 주목할 만큼은 아니었다. 하지만 최근 워너크라이(WannaCry) 사태가 한순간에 랜섬웨어를 제대로 전 세계인들에 각인시켰다. 이 악명 높은 랜섬웨어 공격은 영국의 국민건강보험공단(NHS)을 비롯한 세계 주요 공공 기관들의 공격에 성공함과 동시에 전 세계 30만대 이상의 컴퓨터를 감염시키며 전 세계를 떠들썩하게 했다.

워너크라이 사건은 세계적인 규모의 사이버 공격으로 전 세계가 랜섬웨어를 주목하게 만든 사건이면서, 동시에 앞으로 다가올 미래에 대해서도 암시하는 바가 큰 사건이다. 랜섬웨어를 배포하는 웜바이러스는 전에 없이 정교해져 가며 배포 방법도 더욱 효율적으로 변모하고 있다. 이로써 가까운 미래에 더욱 심각한 랜섬웨어 공격이 일어날 가능성은 매우 높은 것으로 예측된다.

이 글에서는 랜섬웨어의 역사를 짚어보고, 사이버 공격 시장의 언저리를 맴돌던 랜섬웨어가 어떻게 21세기 사이버 보안에 가장 위협적인 악성 프로그램으로 거듭날 수 있었는지를 알아보고자 한다. 핵심 랜섬웨어 공격, 다양한 공격 전략들, 최근 들어 잦았던 세계적인 규모의 랜섬웨어 공격 뒤에 숨은 주요 혁신 기술을 살펴본 후, 랜섬웨어의 미래도 살펴보자.

랜섬웨어란?

우선 몇 가지 정의를 살펴보자. 랜섬웨어는 금전적인 요구, 즉 몸값(Ransome)을 요구하는 악성 프로그램을 일컫는다. 하지만 보통의 해킹 공격에 사용되는 바이러스와 달리, 랜섬웨어는 컴퓨터나 IT 시스템에 접근하여 정보를 직접 훔치지도 않는다. 그렇다고 가짜 보안 소프트웨어, 스케어웨어(Scareware)나 피싱 사기처럼 사용자에 직접적으로 돈을 빼앗지도 않는다.

하지만 랜섬웨어는 그 어떤 악성 프로그램보다 피해자들에 현실적이 피해를 입힌다.

랜섬웨어는 공격자가 피해자의 컴퓨터를 사용하지 못하도록 만든 , 이를 인질로 금전을 요구하는 악성 프로그램이다.

대부분의 랜섬웨어는 두 분류로 나뉜다. 첫 번째 분류는 랜섬웨어 바이러스에 감염된 기기를 피해자가 사용하지 못하도록 암호를 걸어놓는 식으로, CPU 잠금, 사용자 인식 장치 제어 등의 방법으로 이루어진다. 두 번째는 일명 크립토랜섬웨어(Crypto-Ransomware)라는 방식으로, 사용자 PC의 문서 드라이브와 콘텐츠를 암호화하여 이를 사용할 수 없게 하는 방식이다.

랜섬웨어에 감염된 대부분의 경우, 사용자는 협박 메시지를 받게 된다. 협박 메시지는 로그아웃 스크린에 팝업 형식으로 나타나거나 크립토랜섬웨어의 경우 이메일이나 인스턴트 메시지로 전달되기도 한다.

랜섬웨어의 태동

AIDS 트로이목마

최초의 랜섬웨어는 온라인 위협을 자각하기 시작한 오늘날로부터 무려 20년 전으로 거슬러 올라간다. 1989년 하버드 학자였던 조셉 포프 박사(Dr. Joseph L Popp)는 세계보건기구(WHO)가 주최한 후천성면역결핍증후군(AIDS) 회담에 참석하게 되었다. 회담을 준비하는 과정에서 포프 박사 “AIDS 정보 소개 파일”이라는 파일명의 20,000개의 디스크 파일을 다른 참석자들에 보냈다.

이 파일을 받은 참석자들은 컴퓨터 바이러스가 들어있다는 사실은 꿈에도 모른 채 의심 없이 전송받은 플로피 디스크를 자신들의 컴퓨터에서 실행시켰다. 의심을 피하고자 디스크가 실행된 이후 일정 기간 동안 바이러스들은 피해자들의 컴퓨터에 잠복해 있었다. 하지만 90번 재부팅 후 이 바이러스들은 활동을 시작하면서 컴퓨터 내 모든 파일을 암호화하고 디렉터리를 숨겨 시스템을 사용할 수 없게 만들어 버렸다. 시스템 복구를 위해서는 189달러를 파나마의 한 주소로 송금해야 한다는 내용이 담긴 메시지가 컴퓨터에 띄워졌다.

포프 박사는 시대를 앞서도 너무 앞선 천재였다. 그를 이어 랜섬웨어의 바통이 이어지기까지는 무려 16년이란 세월이 걸렸다. 이 사건으로 포프 박사는 체포되었지만 불안정한 정신 상태를 이유로 형을 선고받지는 않았다.

2005: 랜섬웨어의 시작

다음 랜섬웨어 사건이 터지기까지, 포프 박사 사건은 잊혔고 인터넷의 시대가 시작되었다. 인터넷은 전에 없던 엄청난 편리함을 가져다주었지만, 이와 동시에 사이버 범죄자들은 인터넷이란 공간을 통해 쉽사리 악성코드를 배포할 수 있게 되었다. 또, 프로그래머들은 포프 박사가 사용했던 것보다 훨씬 강력한 암호화 기술을 개발하는 데 성공했다.

지피코더(GPCoder)

온라인을 통해 배포된 첫 랜섬웨어는 ‘지피코더 트로이목마(GPCoder Trojan)’이다. 2005년 처음 등장한 지피코더는 윈도우 시스템과 목표로 삼은 파일을 다양한 확장자로 감염시킬 수 있었다. 지피코더에 감염된 파일은 암호화된 양식으로 복제되었고, 원본은 시스템에서 삭제되었다. 새롭게 암호화된 파일은 읽을 수 없었을뿐더러, 당시 1024비트 RSA 암호화 방식을 적용되어 이를 해독하는 것 역시 거의 불가능에 가까웠다. 지피코더의 경우, 피해자의 홈 스크린에 메시지를 띄워 바탕화면에 저장된.txt 파일을 피해자가 열도록 했다. 그 파일 안에는 감염된 파일을 복구하기 위한 금전, 즉 몸값 지급 방법이 자세히 담겨 있었다.

아카이브어스(Archieveus)

같은 해 1024비트 RSA 암호화 방식을 사용한 또 다른 트로이목마 악성 프로그램, 아카이브어스(Archieveus)가 등장했다. 아카이브어스는 지피코더처럼 특정 실행 파일 혹은 파일 확장자를 목표로 삼기보다는, 피해자의 문서폴더 안의 모든 파일을 암호화하는 방식을 사용했다. 피해자는 여전히 컴퓨터와 다른 폴더에 저장된 파일에 접근할 수 있었지만, 대부분의 경우 사람들은 작업 문서를 비롯한 대부분의 중요한 파일을 ‘내 문서’에 자동 저장되도록 기본 설정을 해놓았기 때문에 적지 않은 영향을 미쳤다.

이를 해독하기 위해서 피해자는 공격자가 지정한 사이트로 접속해 30자로 이루어진 패스워드를 구매해야 했는데, 30자나 되는 워낙 긴 패스워드로 이를 맞출 가능성은 현저히 낮았다.

2009 – 2012: 본격적으로 수익을 창출하다

여태까지 소개된 초기 랜섬웨어들이 사이버 범죄자들로부터 주목을 받기까진 꽤 시간이 걸렸다. 지피코더, 아카이브어스 같은 트로이목마 악성 프로그램을 통해 벌어들인 수익은 상대적으로 적었기 때문인데, 그 이유는 바이러스 퇴치 소프트웨어로 쉽게 이들을 발견하고 치료할 있어 수익을 벌어들일 있는 기간이 짧았기 때문이다.

그래서 대체적으로 이 당시 사이버 범죄단들은 해킹, 피싱, 가짜 보안 소프트웨어를 통한 사기 행위를 보다 선호했다.

이러한 사이버 범죄의 트렌드는 2009년부터 변화하기 시작했다. 분도(Vundo)를 통해 이를 확인할 수 있는데, 평범한 스케어웨어였던 분도는 랜섬웨어로 방향을 틀었다. 원래 분도는 컴퓨터 시스템을 감염시켜, 컴퓨터 자체 보안을 실행시킨 후, 여기에 겁을 먹은 피해자들이 가짜 보안 소프트웨어를 설치하도록 유인하는 방식을 사용했다. 하지만 2009년부터 분도는 피해자들의 컴퓨터 파일을 암호화한 후 이를 복구하는 해결책을 판매하는 랜섬웨어로 변신했다.

분도는 랜섬웨어로 괜찮은 수익을 낼 수 있다는 사실을 해커들에 인식 시켜준 랜섬웨어였다. 또 당시 익명 온라인 결제 플랫폼의 확산이 확산되면서, 큰 몸값을 받는 일도 더욱 간편해졌다. 랜섬웨어 자체가 정교하게 발전한 것 역시 이의 성장에 한몫했다.

2011년까지 랜섬웨어 공격은 기하급수적으로 늘어났다. 2011년 1분기 이미 6만 건의 랜섬웨어 공격이 보고 되었고, 이는 2012 1분기에 이는 20 건으로 상승했다. 2012 시만텍(Symantec) 연구원들에 따르면 랜섬웨어 암시장은 이미 500 미국 달러의 가치를 지니고 있었다.

윈록 트로이목마(Trojan WinLock)

2011년, 새로운 형태의 랜섬웨어가 등장했다. 윈록 트로이목마(WinLock Trojan)는 처음으로 확산된 ‘락커(Locker)’ 형태의 랜섬웨어였다. 피해자 기기 내의 파일을 암호화하기 보다, 락커는 기기로 로그인하는 것 자체를 불가능하게 만드는 방식으로 작동했다.

윈록 트로이목마는 이전의 스케어웨어 전략을 활용해 기존의 실제 제품을 모방하는 새로운 랜섬웨어 트렌드를 개척했다. 윈도우 시스템을 감염시킨 후, 윈도우 제품 활성화 체계를 복제하여 피해자들이 활성화키를 구매할 때까지 윈도우에 접근할 수 없도록 만들었다. 이후 가짜 활성화 스크린에 팝업된 메시지에는 피해자들의 윈도우 계정이 어떠한 사기 행위로 재활성화되어야 한다는 내용과 함께 해결을 위해서는 다음의 번호로 국제전화를 해야 한다고 피해자들을 유인했다. 통화료가 무료라는 이 국제 전화는 사실 공격자들이 피해자들에 쥐여준 엄청난 청구서라는 사실을 피해자들은 알지 못했다.

레베톤 그리고 경찰사칭 랜섬웨어

사용자들이 가짜 구독료를 지급하도록 속이는 모방 소프트웨어는 일명 ‘경찰’ 사칭 랜섬웨어의 등장으로 새로운 국면을 맞게 된다. 이 랜섬웨어는 경찰 기관 혹은 정부를 사칭하여 피해자의 기기에서 불법 행위가 적발되었다는 메시지를 보냈다. 피해자의 기기는 ‘몰수’라는 명목으로 사용할 수 없게 되었고, 이를 복구하기 위해서 피해자들은 일종의 뇌물 혹은 벌금을 지급해야 했다.

이 랜섬웨어는 주로 성인물 사이트, 파일 공유 서비스, 불법 콘텐츠 사이트를 통해 배포되었다. 이러한 형태의 랜섬웨어는 피해자들이 뜨끔하게 만들어 받은 경고 메시지의 사실 여부를 판단하기 전에 금전을 지급하도록 유도했다.

보다 사실적이고 위협적으로 다가가기 위해, 경찰 사칭 랜섬웨어는 주로 피해자의 위치를 기재하여 협박 메시지를 그럴듯하게 구성하였다. 피해자의 IP 주소를 적거나 때로는 실시간 메시지를 보내어 피해자들이 그들의 온라인상 활동이 감시되었고 기록되었다고 믿게 했다.

가장 유명한 경찰 사칭 랜섬웨어가 바로 레베톤(Reveton)이다. 초창기 유럽에서 기승을 부렸던 이 랜섬웨어는 미국으로 건너가 FBI 사칭 랜섬웨어가 되었다. 이 랜섬웨어는 피해자의 기기를 사용을 못 하게 만든 후, 이를 복구하기 위해선 200달러에 달하는 ‘벌금’을 지급해야 한다 주장했다. 당시 피해자들은 머니팩(MondyPak), 우카쉬(Ukash) 등 선불형 전자 화폐 서비스를 통해 벌금을 지급했다. 그리고 Urausy와 Kovter 등 다른 경찰 사칭 랜섬웨어들도 등장하여 레베톤을 모방하며 활동하기 시작했다.

2013 – 2015: 암호화에 다시 주목하다

2013년 하반기, 새로운 형태의 크립토랜섬웨어가 등장하며 사이버보안은 다시 한 번 치열한 전투를 앞두게 되었다. 크립토락커(CryptoLocker) 다양한 방면에서 랜섬웨어 판도를 바꾸어 놓았다. 첫째, 크립토락커는 스케어웨어나 경찰 사칭 랜섬웨어처럼 교묘한 속임수를 쓰지 않았다. 크립토락커를 개발한 프로그래머는 단순 명료했다. 피해자들이 3일 이내로 요구한 금액을 지급하지 않을 시, 암호화된 모든 사용자의 파일을 삭제할 것이란 메시지를 띄우는 것이다.

둘째, 크립토락커는 사이버 범죄자들이 사용할 수 있는 암호화 기술이 약 10년 전 크립토랜섬웨어가 처음 등장했을 때보다 훨씬 강력해졌음을 증명했다. 숨겨진 토르 네트워크에서 C2 서버를 사용하면서, 크립토락커 프로그래머들은 2048비트 RSA 개인키/공개키 암호화 방식을 통해 구체적인 확장자 파일을 감염시킬 있었다. 특히 이 암호화 방식은 이중 결박의 역할을 했다. 공개키를 기반으로 감염된 파일의 해독 방법을 찾으려면 토르 네트워크에 숨겨진 공개키로 고생을 했고, 개인키는 프로그래머들이 직접 관리해 그 자체로 너무 강력해 해독이 어려웠다.

셋째, 크립토락커는 새로운 배포 방식을 개척했다. 초기에는 게임오버 제우스(Gameover Zeus)이라는 보넷을 통해 퍼졌는데, 이 보넷은 인터넷으로 악성코드를 퍼트리기 위해 이미 감염된 일명 ‘좀비’ 컴퓨터들이 모인 네트워크였다. 이로써 크립토락커는 감염된 웹사이트를 통해 번식하는 랜섬웨어라는 명성을 가지게 되었다. 또, 스피어 피싱 기법을 통해 퍼지기도 했는데, 예를 들어 고객 불만 이메일 속의 첨부파일 형태로 회사에 보내져 피해자들을 속이는 것이다.

앞서 소개된 크립토락커의 모든 특징이 후에 이루어진 랜섬웨어 공격의 주요 특징으로 자리 잡게 되었는데, 이는 크립토락커가 얼마나 성공적인 랜섬웨어였는지를 보여준다. 감염된 시스템을 복구하는데 $300가 청구된 것으로 알려졌으며, 이로써 공격자들은 단기간에 3백만 달러라는 높은 수익을 올린 것으로 알려졌다.

어니언(Onions) & 비트코인

2014년 게임오버 제우스 보넷이 폐쇄되면서 크립토락커의 전성기도 끝이 나는 듯 보였다. 하지만 이미 수많은 랜섬웨어 주자들이 바통을 이을 준비를 마친 상태였다. 크립토월(CryptoWall)은 역사상 가장 강력한 랜섬웨어 중 하나였는데, 토르 네트워크의 이면에서 생성된 RSA 공공키/개인키를 활용함과 동시에 피싱 사기를 통해 퍼져 나가는 방식을 사용했기 때문이다.

토르(Tor)는 어니언 라우터(The Onion Router)의 약자로, 랜섬웨어의 개발 및 배포에 있어 중요한 역할을 하기 시작했다. 복잡한 전 세계 서버 네트워크를 둘러싼 인터넷 통신량을 라우팅하는 방식이 꼭 양파의 단면 같아서 어니언 라우터라는 별명을 가진 토르는 익명 프로젝트로 사람들의 온라인상 활동을 비공개로 유지하도록 도울 있다. 불행히도 이 점은 오히려 사이버 범죄자들이 법을 피해 활동할 수 있게 했는데, 이로써 토르는 랜섬웨어의 역사에 있어 중요한 역할을 맡게 된 것이다. 크립토월은 랜섬웨어에 있어 점점 더 비중이 커진 비트코인의 역할 역시 증명했다. 2014년까지, 가상화폐(Crypto Currency) 선택 지급 방식 하나에 불과했다. 선불형 전자 크레딧은 익명성은 보장했지만, 일명 돈세탁 없인 현금 환수가 어렵다는 단점이 있었다. 이에 반해 비트코인은 온라인상에서 일반 화폐처럼 사용되어 거래에 바로 사용할 수 있었다.

2015년까지 크립토월 홀로 약 3억 2천5백만 달러의 수익을 올린 것으로 추정된다.

안드로이드 공격

랜섬웨어에 있어 또 다른 중요한 진전은 모바일 기기를 목표로 랜섬웨어의 개발이라 볼 수 있다. 특히 초기에는 안드로이드 기기를 목표로 삼아 집중 개발되었는데, 이때 오픈 소스 안드로이드 코드를 활용했다.

2014년 첫 안드로이드 공격 사례가 등장했는데, 경찰 사칭 형식을 복제한 방식이었다. 가짜 어도비 플래시 업데이트 메시지를 통해 기기를 감염시키는 사이펑(Sypeng)이란 랜섬웨어는 스크린을 잠근 후 200달러를 요구하는 가짜 FBI 메시지를 띄웠다. 콜러(Koler)는 비슷한 악성 코드로 첫번째 랜섬웨어 웜이라는 점에서 주목할 만하다. 자기 복제 악성코드로 스스로 배포할 수 있는 랜섬웨어인 것이다. 콜러는 감염된 기기에 저장된 모든 연락처에 자동으로 웜바이러스를 다운로드 할 수 있는 링크가 기재된 메시지를 전송하는 방식으로 스스로를 배포했다.

심플락커(SimplLocker)의 경우 모바일 기기를 대상으로 초창기 크립토 랜섬웨어였는데, 스크린을 잠그는 형식을 취했다. 안드로이드 랜섬웨어의 또 다른 혁신은 사이버 범죄자들이 온라인에서 구매하고 스스로 구성할 수 있는 이른바 DIY(Do It Yourself) 툴킷이다. 온라인에서 5000달러에 거래된 플레토(Pletor) 트로이목마에 기반한 키트가 바로 그 첫 사례였다.

2016: 진화된 위협

2016년은 랜섬웨어 역사에 있어 중요한 한 해였다. 새로운 배포 방식, 새로운 플랫폼, 새로운 멀웨어 유형 이 모두가 합쳐져 시너지 효과를 내며 보다 심각한 사이버 위협이 되었고, 이는 후에 다가올 전 세계적인 규모의 사이버 공격의 발판을 마련한 것이기도 했다.

크립토월의 진화

전성기를 한번 찍은 후 무력화되어 사라지는 일반의 랜섬웨어와 달리, 크립토월은 결코 쉽게 사라지지 않았다. 4가지 별개의 유출을 통해 진화해온 크립토월은 다른 랜섬웨어에서 기술을 모방하여 오히려 발전을 거듭했다. 예를 들어 복제된 레지스트리 키 항목을 사용하여 재부팅될 때마다 멀웨어가 로딩되도록 했다. 이 방법은 가히 천재적인 방법이라 할 수 있었는데, 이 멀웨어는 늘 즉각적으로 실행된 것이 아니라 암호화 키를 보유한 원격 서버에 연결될 때까지 기다렸기 때문이다. 재부팅 시 자동 로딩 방식은 멀웨어의 공격 성공률을 최대치로 끌어올렸다.

록키(Locky)

보다 공격적인 피싱 사기를 통한 파급적인 번식력과 함께 록키(Locky)는 다가올 워너크라이(WannaCry) 공격의 예고편과 같았다. 하루 최고 10만 대의 속도로 피해자 기기를 감염시켰다. 이런 속도가 가능했던 이유는 안드로이드 툴킷에서 처음으로 ‘다단계 시스템’을 사용하여 더욱 많은 사이버 범죄자들을 끌어들였기 때문이다. 특히, 의료 서비스 업체를 대상으로 진행했던 공격은 중요한 공공 서비스들은 악성코드에 감염되었을 경우 시스템 복구를 위한 ‘몸값’을 보다 서둘러 지급할 것이라는 생각에서 진행되었는데, 이는 후에 있을 워너크라이 공격의 전조가 되었다.

멀티플랫폼

2016년은 처음으로 맥 운영체제 대상 랜섬웨어가 등장한 해이기도 하다. 키레인저(KeRanger)의 경우 특히 기본 맥 파일은 물론 맥의 복구 시스템인 타임머신(Time Machine) 백업도 암호화할 수 있는 것으로 파악됐다. 이로써 문제 발생 시 이전 버전으로 되돌아가는 맥의 능력도 무용지물이 되었다.

키레인저를 이어 다중 운영 체제를 감염시키는 랜섬웨어도 등장하게 되었다. 자바스크립트로 프로그래밍된 랜섬32(Ransom32)는 윈도우, 맥, 리눅스 등의 운영체제를 사용하고 있는 기기라면 무엇이든 감염시킬 수 있는 것으로 알려졌다.

알려진 취약점을 노리다

일명 익스플로잇킷(Exploit Kit)이라 일컫는 멀웨어는 프로토콜을 통해 바이러스를 전달하는데, 이때 사용되는 프로토콜은 인기 있는 소프트웨어의 취약점을 공격한다. 앵글러킷(Angler Kit)은 2015년 초에 처음 모습을 드러냈다. 그리고 2016년 앵글럿킷은 어도비 플래시와 마이크로소프트 실버라이트의 취약점을 공격하는 랜섬웨어 바이러스와 함께 활동에 탄력을 받기 시작했다. 특히, 크립토월 랜섬웨어의 새로운 버전인 ‘크립토월 4.0’이 앵글러킷을 등에 업고 강력한 랜섬웨어로 부상했다.

크립토웜(Cryptoworm)

콜러(Koler) 바이러스를 이어 크립토웜(Cryptoworm) 2016 랜섬웨어 주류로 거듭났다. 마이크로소프트사에서 처음으로 보고한 지크립토(ZCryptor)가 그 예이다. 지크립토의 경우 자기 복제와 자체 실행 방식과 함께 이동식 디스크를 통해 배포되는 것으로 알려졌다.

2017: 랜섬웨어의 활개

2016년 이루어진 더욱 정교해진 공격 수법과 대규모 공격으로 미루어 봤을 때, 이미 많은 사이버 보안 분석가들은 세계적인 규모의 해킹 공격과 데이터 침해는 시간 싸움이라는 것을 예측하였다. 아니나 다를까 워너크라이(WannaCry)는 이 두려움을 실현했고, 전 세계의 신문 일 면을 장식하는 랜섬웨어 공격이 되었다. 그렇다고 워너크라이가 2017년 컴퓨터 사용자를 위협한 유일한 랜섬웨어라고는 말하기는 힘들다.

워너크라이(WannaCry)

2017년 5월 12일, 일명 워너크라이(WannaCry)라고 알려진 랜섬웨어 바이러스가 스페인에서 첫 공격을 개시했다. 몇 시간이 지나지 않아 수십 개국의 수백 대의 컴퓨터가 같은 바이러스에 감염되었다. 며칠 지나지 않아 감염된 컴퓨터의 수는 25억 여 대를 기록하며 워너크라이는 역사상 가장 큰 규모의 랜섬웨어 공격으로 전 세계를 주저앉혔다.

워너크라이는 워너크립트(WannaCrypt)의 약어로 이름에서 유추할 수 있듯 크립토웨어(cryptoware)이다. 사실은 크립토웜에 더 가까운 이 랜섬웨어는 스스로 복제와 배포를 할 수 있다.

워너크라이가 최악의 사이버 공격으로 거듭날 수 있었던 데에는 배포 방식도 한몫한다. 워너크라이는 피싱 사기도, 손상된 보넷 사이트로부터의 다운로드 방식도 이용하지 않았다. 대신 컴퓨터의 취약점을 집중 공격했다. 워너크라이는 마이크로소프트(MS) 윈도우 운영체제의 취약점을 파고 들어 감염시켰다. 어떤 특정 네트워크에 속한 한 대의 컴퓨터가 감염되는 순간, 이 악성코드는 해당 네트워크 내 다른 컴퓨터를 찾아내 감염시켰다.

워너크라이는 급속하게 퍼져 나갔다. 특히 이 방식은 큰 조직체의 시스템을 공격하는 데 매우 효과적이었다. 각종 은행, 교통 당국, 대학, 영국의 국민보건서비스(NHS) 등 보건 기관까지 모두 공격을 당하며, 각종 뉴스의 일면을 삽시간에 장식했다.

무엇보다 충격적인 사실은 워너크라이가 공격한 윈도우의 취약점이 이미 수년 전 미 안보국(NSA)에서 인지하고 있었던 취약점이었다는 것이다. 다만 미 안보국은 이 취약점과 위험성을 세계에 알리기보다 이를 활용해 강력한 사이버 무기로 개발하고자 했다. 실제로 워너크라이는 주 정부 안보국이 개발한 한 시스템을 기반으로 개발되었다고 한다.

페티야(Petya)

워너크라이에 이어 또 다른 랜섬웨어 공격이 전 세계 수 천대의 컴퓨터를 덮쳤다. 페티야(Petya)로 알려진 이 랜섬웨어에서 가장 주목할 점은 워너크라이가 공격했던 윈도우의 취약점을 똑같이 노렸다는 것이다. 이는 미국 안보국이 계획했던 사이버 무기가 성공적으로 개발되었다면, 얼마나 강력한 무기가 되었을지 짐작할 수 있는 부분이다. 또한, 워너크라이 공격으로 랜섬웨어 보안패치가 널리 배포되었음에도, 사이버보안을 유지하는 것이 얼마나 어려운 일인지를 보여주는 사례이기도 했다.

리커로커(LeakerLocker)

랜섬웨어의 위협이 상당히 유동적일 수 있다. 최근 다양한 뉴스 일면을 장식했던 대규모 공격은 스케어웨어와 위협 전술 등 고전적인 방식을 보다 발전시켜 활용했다. 안드로이드 기기를 노린 리커로커(LeakerLocker)는 모바일 사용자 기기 내에 있는 콘텐츠를 사용자의 연락처 목록에 공유하겠다 협박하는 방식이다. 만약 당신의 휴대전화기에 혼자만 알고 싶은 조금은 당혹스러운 자료가 저장되어 있다면, 재빨리 요구된 몸값을 지급하는 것이 나을지도 모른다. 그렇지 않을 경우, 당신의 친구는 물론 직장 동료, 친척들까지 숨기고 싶었던 내 개인 정보를 알게 될 수 있기 때문이다.

다가올 랜섬웨어의 미래는?

사이버 범죄자가 랜섬웨어를 통해 얻을 수 있는 수익이 기하급수적임을 고려할 때, 앞으로 랜섬웨어 공격은 더욱 활개칠 것으로 예상된다. 자기 복제 바이러스 기술과 알려진 시스템의 취약점을 공격했던 전술을 합치는데 성공한 워너크라이를 통해 단기간 랜섬웨어 공격의 대부분 특징을 파악할 있었다. 하지만, 랜섬웨어 개발자들이 멀웨어를 이용한 새로운 감염, 배포, 수익화 방법을 아직 찾아내지 못했을 거로 생각한다면 이는 오산이다.

그렇다면 앞으로 다가올 랜섬웨어의 미래는 어떨까?

한 가지 크게 염려되는 점은 컴퓨터, 스마트폰 외 다른 디지털 기기를 노린 랜섬웨어의 잠재 가능성이다. 사물 간 인터넷이 개발된 이래로 우리가 일상에서 이용하는 많은 장비가 점점 디지털화 되고, 인터넷에 연결되고 있다. 이는 사이버 범죄가들이 노리고 있는 아주 큰 잠재 시장이다. 랜섬웨어 때문에 운전자가 자신의 차에 탑승할 수 없거나, 중앙난방 시스템이 감염되어 한 겨울을 추위 속에서 벌벌 떨며 보낼 수도 있다. 생각보다 다양한 방식으로 랜섬웨어는 우리의 일상에 악영향을 끼칠 수도 있다.

랜섬웨어가 어떻게 진화하든 간에, 우리는 이에 대해 대비해야 한다. 이메일을 열어볼 때마다 조심하고, 방문하는 웹사이트를 잘 살피고, 나의 사이버 보안이 항상 최상급으로 유지되어 있는지를 확인해야 한다. 그렇지 않으면 다른 랜섬웨어 피해자들과 마찬가지로 당신도 머지않아 랜섬웨어의 피해자로 전락해 있을지도 모른다.

VPN 사용이 랜섬웨어 공격을 막을 있을까?

VPN을 사용하는 것 자체가 우리를 멀웨어의 공격으로부터 완벽히 보호할 것이라 말할 수는 없다. 하지만 사용자 시스템의 보안 수준을 한층 업그레이드하여 더욱 안전할 수 있는 것은 부정할 수 없는 사실이다. VPN을 이용 시 누릴 수 있는 많은 이점을 알아볼까?

  • VPN 사용 시, 당신의 IP 주소는 숨겨져 웹사이트에 익명으로 접근할 수 있다. 이로써 악성코드 생성자가 당신의 컴퓨터를 인지하지 못하게 만들어, 당신이 아닌, 다른 사용자들을 목표로 삼도록 유인하게 된다.
  • VPN을 사용하여 온라인의 데이터를 공유하거나 접근할 경우, 해당 데이터는 암호화된다. 이 때 악성코드 생성자는 암호화된 데이터에 쉽게 접근할 수 없다.
  • 괜찮은 VPN 서비스들은 의심스러운 URL을 차단하는 기능이 탑재되어 있다.

VPN 이용 시 당신은 랜섬웨어를 포함한 멀웨어로부터 보다 안전할 수 있다는 사실을 깨달을 것이다. 오늘날 우리가 선택할 수 있는 VPN은 너무나도 많다. 하지만 이 중에서 괜찮은 인지도와 전문적인 온라인 보안 서비스를 제공하는 상품으로 잘 선택해야 위에 소개된 VPN 이점을 제대로 누릴 수 있다.

만약 괜찮은 VPN을 찾고 있다면, 다음 링크에서 가장 많이 추천된 VPN 목록을 확인해보자.

도움이 되었나요? 공유하세요!