랜섬웨어 피해가 끊이지 않지만 사후 대책이 전무하다. 랜섬웨어 공격자에 돈을 주고 데이터 복구가 당연해지면서 범죄수익을 양산하는 악순환이 반복된다. 미국 정부가 샘샘(SamSam) 랜섬웨어 몸값 지불에 제재를 가하겠다고 발표하면서 국내도 랜섬웨어 범죄 고리를 끊어낼 대책이 필요하다.
10일 한국랜섬웨어침해대응센터에 따르면 올해 국내서 발생한 랜섬웨어 공격으로 28만5000명(1조500억원)가량이 피해를 입은 것으로 나타났다. 2015년 총 피해자 5만3000명(1090억원), 2016년 13만명(3000억원), 2017년 26만명(7000억원) 등으로 피해 인원과 금액은 꾸준히 증가한다.
랜섬웨어 공격도 치밀하다. 안랩 등 국내외 안티바이러스(백신)기업이 랜섬웨어 복호화 툴을 배포하자 원격지 서버(C&C)에서 프로그램을 작동하는 등 새로운 랜섬웨어를 제작해 뿌린다. 새로운 랜섬웨어 개발 기간도 2주에서 한 달가량으로 속도도 빠르다. 갠드크랩(GandCrab) 랜섬웨어는 올해만 5.0.9 버전이 배포됐을 정도다.
피해자는 인질로 잡힌 파일을 되찾기 위해 데이터 복구 업체를 찾는다. 복구 기업은 데이터복구를 위해 공격자와 협상을 벌이거나 돈을 지불한 뒤 복호화 키로 데이터를 살리는 것 외에는 방법이 없다고 소개한다. 사실상 범죄자 수익을 돕는다.
미국은 최근 샘샘 랜섬웨어 유포자로 이란인 해커 2명을 기소했다. 이란 해커가 받은 비트코인을 리알화로 교환해준 이란 출신 남성 두 명도 제재했다. 미 재무부는 이들이 사용한 암호화폐 주소록을 공개하며 이들과 거래 할 경우 2차 제재를 받을 수 있다고 경고했다. 랜섬웨어 공격, 복호화 수익, 수익금이 랜섬웨어 재투자로 이어지는 범죄수익 고리를 끊겠다는 복안이다.
미 IT전문 매체 블리핑컴퓨터는 “이 같은 2차 제재는 미국 내 기업(데이터 복구 중계업체)와 개인에게 영향을 미칠 수 있다”면서 “랜섬웨어 공격자에게 몸값 지불은 정부 제재를 위반하는 것”이고 설명했다.
국내는 여전히 백업 등 사전 예방을 안내하는데 그친다. 랜섬웨어 해커 표적이 된 웹호스팅 업체도 한국인터넷진흥원(KISA) 랜섬웨어 예방 가이드라인이 전부다.
전문가는 한국이 랜섬웨어 표적 국가로 떠오를 정도로 피해가 커진 만큼 범죄 수익을 끊을 대책을 마련해야 한다고 지적한다. 범죄자와 직접 거래 대신 개별 파일을 되찾기 위해 수사기관과 협조해 범죄자 정보를 데이터베이스(DB)화, 기록·추적해야 한다는 설명이다.
이형택 이노티움 대표는 “랜섬웨어 피해자는 대부분 중소기업, 개인 등으로 실제 알려진 피해보다 피해 상황은 더 크다”면서 “피해사실 확인 후 데이터복구업체나 직접 해커와 연락하는 것이 아닌 수사기관 협조를 통해 암호화폐 추적 등 범죄수익 고리를 끊을 수 있는 방안을 마련해야 한다”고 지적했다.
표 : 연도별 국내 랜섬웨어 피해규모
출처 : 한국랜섬웨어침해대응센터
정영일기자 jung01@etnews.com