주춤하던 랜섬웨어가 다시 돌아왔다. 위협 수위는 한층 높아졌다. 감염 사실을 음성으로 안내하는가 하면 해외 거래 송장(인보이스)을 위장한 악성메일까지 유포한다. 피해상담 문의는 랜섬웨어가 기승을 부린 지난해 10월 수준으로 높아졌다.
22일 업계에 따르면 지난주를 기점으로 국내 랜섬웨어 피해가 급증했다. 유포는 랜섬웨어가 숨겨진 위장 이메일로 이뤄진다. 주로 웹 취약점을 이용해 특정 웹사이트 방문자를 감염시키던 기존의 방식에서 한 걸음 나아갔다.
지난해 국내 랜섬웨어로 인한 피해액은 1000억원 규모로 추산됐다. 한국랜섬웨어침해대응센터는 올해 피해 규모 3000억원, 감염자 수는 15만명에 이를 것으로 내다봤다. 다양한 신·변종 등장과 공격 기법 지능화로 피해가 확산된다는 분석이다.
`로키(locky)` 랜섬웨어는 3월 중순부터 등장했다. 이메일에 포함된 첨부파일을 실행시키면 PC 내 데이터를 암호화하고 확장자를 닷로키(.locky)로 바꾼다. 기업 간 거래, 대금청구 등에 자주 쓰이는 송장 형태로 메일 제목과 내용, 첨부파일명을 구성했다. 악성파일 실행을 유도한다.
장수철 명정보기술 차장은 “지난주부터 복구 문의가 쇄도하고 있다”면서 “이메일로 랜섬웨어가 유포되면서 인보이스에 거부감이 적거나 외국과 거래를 자주하는 업체를 중심으로 피해가 급증한다”고 전했다.
인보이스는 제품명과 규격, 수량, 단가, 규격 등 상품 거래에 필요한 주요 내용을 작성한 문서다. 무역거래에서 흔히 쓰인다. 기업 내 담당자가 무심코 파일을 열어보기 쉽다. 기업 피해자는 데이터에 대한 `몸값` 지불 가능성도 높다.
파일 암호화를 풀어 주는 대가도 올랐다. 평균 50만~60만원을 요구하던 것을 넘어 150만원에 상당하는 비트코인을 요구하는 사례도 적지 않다.
음성으로 랜섬웨어 감염 사실을 안내하는 변종 랜섬웨어와 테슬라크립트(TeslaCrypt) 업그레이드 버전도 발견됐다. 12개국 언어로 동작한다. 한국어는 없지만 국내 피해 사례가 보고됐다.
지난해 많은 피해를 일으킨 테슬라크립트는 4.0버전으로 새로 등장했다. 암호화 방식 강화로 복호화가 불가능하다. 확장자는 그대로 두고 파일만 사용할 수 없도록 암호화한다.
보안 업계는 다양한 랜섬웨어 변종 등장으로 대응에 부심하고 있다. 사전에 파악한 해외 사례와 고객 신고 등을 바탕으로 백신 제품에 시그니처와 패턴 업데이트를 진행한다. 다만 변종은 초기 대응이 쉽지 않다. 최신 보안패치 유지와 주기적인 데이터 백업 등 개인 보안 강화 노력도 중요하다.
피해 방지를 위해서는 이메일 첨부파일을 정확히 확인하고 실행하는 습관이 필요하다. 송신자가 불분명한 메일이나 확장자명이 의심스러운 파일은 열지 않는 것이 상책이다. 파일 확장자명을 확인하도록 보이게 설정하는 방안도 실수 예방에 도움이 된다.
백업이 효과가 있지만 완벽하지는 않다. 랜섬웨어가 네트워크나 동기화 기능으로 연결된 백업 저장공간까지 노리기 때문이다. 외장하드와 같이 분리된 외부 저장매체나 암호화된 백업 기능이 대안으로 제시된다. 실시간 감지를 항상 켜 두고 랜섬웨어 방지에 특화된 보조 제품을 함께 활용하는 방안도 효과가 있다.
김정훈 체크멀 대표는 “랜섬웨어는 백신 프로그램 진단과 차단을 우회하기 위해 계속해서 변종이 등장한다”면서 “랜섬웨어 전문 대응 솔루션 활용과 데이터 백업 등 여러 단계에 걸친 방비책이 요구된다”고 강조했다.
최근 등장한 주요 신·변종 랜섬웨어
박정은기자 jepark@etnews.com
