랜섬웨어로 암호화된 파일을 복구하려는 보안업계와 랜섬웨어를 만들어 유포하는 공격자 간 공방전이 치열하다. 복호화 도구를 내놓으면 버전 업그레이드로 금세 이를 회피하는 등 방어 동향을 즉각 공격에 반영하는 모습이다.
보안업체 카스퍼스키랩은 지난달 말 신종 랜섬웨어 `크립트XXX(CryptXXX)`로 암호화된 파일을 복구하는 도구를 개발해 무료 배포했다. 암호화되지 않은 원본 파일 하나만 있으면 공격자에게 대가를 지불하지 않고 파일을 복구하는 프로그램이다.
복구 프로그램 효과는 오래 가지 않았다. 얼마 지나지 않아 카스퍼스키랩 복호화 툴로 복구되지 않는 `크립트XXX 2.0`이 유포됐다. 랜섬웨어 제작자가 복호화 툴에 대응해 다시 악성코드를 업그레이드한 것이다.
크립트XXX를 처음 발견한 미국 보안업체 프루프포인트는 “가장 빠르게 급증하며 발전하는 랜섬웨어 중 하나”라고 경고했다. “복호화 툴까지 무력화하기 때문에 새로운 복구 도구가 나오기까지 감염되지 않도록 주의하고 파일 백업을 주기적으로 실시하는 등 예방 활동을 강화해야 한다”고 당부했다.
카스퍼스키랩 역시 즉각 대응에 나섰다. 기존 `라노 디크립터(RannohDecryptor)` 업그레이드로 크립트XXX 2.0까지 복호화 가능한 신버전 복구 툴을 발표했다. 사용법도 보다 쉽게 개선했다. 하나 이상 필요하던 원본 파일 없이도 파일을 복구한다. 기존에 해당 복호화 툴을 설치한 이용자는 업데이트된 버전을 자동으로 내려 받을 수 있다.
복구 도구가 새로 나왔지만 공방전은 한동안 이어질 전망이다. 랜섬웨어는 사이버 범죄자에게 유용한 돈벌이 수단으로 부상했다. 점차 조직·기업화하는 양상이다. 백신과 각종 보안제품이 랜섬웨어 대응 기능을 추가함에 따라 이를 회피하는 다양한 신·변종도 계속 등장한다.
이창훈 카스퍼스키랩코리아 지사장은 “라노 디크립터는 여러 랜섬웨어 중 크립트XXX를 비롯한 일부 랜섬웨어에 적용 가능한 복구 기술을 발견해 내놓은 것”이라며 “모든 랜섬웨어 감염 피해를 해결하는 도구가 아니기 때문에 평소 프로그램 최신 업데이트와 보안 솔루션 활용, 백업 등 피해 예방 활동에 주의를 기울여야 한다”고 강조했다.
박정은기자 jepark@etnews.com
