어젯밤 회사에서 미처 못다 한 업무를 집에서 가져와 한 경험, 직장인이라면 한 번쯤 있을 법한 얘기다. 특히 중요한 프레젠테이션이나 보고를 앞두고는 그간의 피땀 어린 노력이 파일 하나에 온전히 담겨 있다고 해도 과언이 아니다. 그럼 이제 끔찍한 상상 하나 해보자. 밤새 노트북으로 열심히 만든 발표 자료가 발표 직전, 갑자기 열리지 않는다면? 심지어 확장자 이름도 이상하게 바뀌어 있고, 데이터를 구매하라는 안내문이 뜬다면? 흔한 일이 아닌 것 같지만 이 경우가 바로 랜섬웨어에 감염된 대표적인 사례다. 좀 더 자세히 알아보자.

랜섬웨어란?

랜섬웨어는 컴퓨터 악성 프로그램이다. 단순히 컴퓨터 데이터를 빼간다거나 훼손하는 수준의 악성 프로그램이 아니라, 근본적으로는 돈을 요구하는 프로그램이다. 보이스피싱도 아니고, 어떻게 돈을 요구할 수 있는 걸까? 인질은 바로 데이터다. 그것도 내가 방금까지만 해도 작업하고 있던 자료, 중요한 정보가 담긴 문서, 소중한 추억이 담긴 파일 등 지극히 ‘내 데이터’ 말이다. 그래서 랜섬웨어의 이름도 몸값을 의미하는 ‘랜섬(Ransom)’과 프로그램 등을 통칭하는 ‘소프트웨어(Software)’의 합성으로 만들어졌다.

​

▲​랜섬웨어에 감염된 PC

그런데 랜섬웨어는 어떻게 내 데이터를 인질로 삼고 돈을 요구할 수 있는 걸까? 핵심은 암호화다. 대부분의 랜섬웨어는 내 데이터의 확장자를 실행할 수 없는 파일로 바꿔버리는 방식으로 데이터 ‘암호화’를 걸어두고, 이 암호를 풀 수 있는 해결책으로 비용 지불이라는 방법을 제시하는 형태다.

​

▲​이와 같은 형식으로 돈을 요구한다

그렇다면 비용 지불은 어떤 방식으로 이뤄질까. 사실 본래 랜섬웨어는 데이터를 암호화하는 형태의 맬웨어 중 하나였는데, 2013년 등장한 ‘크립토락커’라는 이름의 랜섬웨어를 기점으로 비트코인을 지불하면 내 데이터의 암호화를 해제할 수 있도록 하는 방식으로 진화했다. 주로 윈도우 OS가 설치된 PC에서 가장 많이 발생하긴 하지만, 맥 OS나 모바일 환경으로도 칩입이 가능하다.

공격 방식도 다양해

그렇다면 랜섬웨어는 대체 어떤 경로로 감염되는 것일까? 보통 랜섬웨어가 설치되는 경로를 역추적해보면, 사용자가 PC나 모바일을 통해 수신된 문자나 이메일을 확인하는 과정에서 비롯될 때가 많다. 단순히 이메일이나 문자를 열어본다고 해서 랜섬웨어가 무조건 감염되는 사례는 많지 않지만, 통상 함께 첨부된 링크나 파일을 실행했을 때 랜섬웨어가 사용자의 디바이스에 설치되는 형태가 일반적이다.

​

▲​첨부파일 형태로 수신된 랜섬웨어(좌)와 링크 형태로 수신된 랜섬웨어(우)

몇 가지 대표적인 사례를 보면, 최근에는 파일 관리 프로그램을 사칭해 이메일이나 파일 공유 사이트 등을 통해 유포된 랜섬웨어가 있다. 디바이스 내 파일들의 속성 등을 변경하고 관리하는 데 사용되는 프로그램으로 위장해 유포된 것인데, 실제 프로그램 설치 화면과 거의 똑같다. 위장된 설치 파일을 실행하는 것만으로 랜섬웨어에 감염돼 각별한 주의가 필요하다.

​

▲​이렇게 '어색하게' 메일을 발송하기도 한다

개인도 문제지만 기업체에서 관리하는 PC가 랜섬웨어에 감염되는 사례도 적지 않다. 대표적으로 기업이 채용을 진행할 때 인사팀 이메일로 다량의 이력서들이 들어오게 되는데, 이때 랜섬웨어가 지원자의 이력서로 위장해 감염되는 경우가 적지 않았다. 문제는 링크로 된 파일 다운로드를 피하는 등 담당자가 아무리 주의를 요한다고 해도 랜섬웨어가 워드 및 한글 파일로 위장된 경우는 피하기 어렵다. 실제로 워드 파일로 위장된 매크로 랜섬웨어로 인해 피해를 본 기업체도 있다.

​

▲​이력서로 위장한 랜섬웨어

해외 사이트에 방문했을 때 팝업이 뜨면서 추가로 특정 프로그램 파일 설치를 요구하는 방식으로 랜섬웨어가 설치되기도 한다. 가장 많이 사용되는 수법으로는 사이트 최적화를 위해 폰트를 설치하라는 방식이다. 이러한 유형의 랜섬웨어는 굳이 팝업으로 뜨는 프로그램을 설치하지 않으면 그만 아니냐고 반문할 수 있겠지만, 사이트 진입만으로 프로그램이 자동 설치되는 형태도 있어 더더욱 위험하다.

매그니베르? 래피드? 이름도 다양해

​

▲​랜섬웨어 복구 대응센터에서 명시하고 있는 랜섬웨어들

랜섬웨어는 공격 방식에 따라 아주 다양한 이름으로 불린다. 랜섬웨어 복구 대응센터 사이트에 따르면 랜섬웨어 종류를 총 21가지로 제시하고 있고, 이중 2018년에 특히 기승을 부렸던 대표적인 랜섬웨어는 매그니베르, 갠드크랩, 헤르메스, 래피드 등이 있다.

​

▲​매그니베르에 감염된 모습

매그니베르는 국내 윈도우 사용자를 타깃으로 한 대표적인 랜섬웨어로, 2018년 초 집중적으로 유포됐다. 공격은 보안 패치를 이용하지 않는 PC에서 광고가 삽입된 웹 사이트에 사용자가 방문하는 것만으로 악성 스크립트를 실행하는 방식으로 진행된다. 윈도우 정상 프로세스의 메모리에 악성 스크립트를 덮어씌우는 방식으로 파일을 암호화한다. 갠드크랩 역시 보안이 허술한 웹사이트를 방문하는 것만으로 감염되는 방식을 취하고 있는데, 지속적으로 버전 업데이트를 시행함으로써 일반적으로 사용되는 프로그램 형태로 위장해 유포된다. 매그니베르와 마찬가지로 PC 내 파일에 갠드크랩 코드가 덮어씌워지는 방식이다.

​

▲​래피드에 감염된 모습

헤르메스 역시 단순한 웹 서핑만으로도 감염 위험이 있는 랜섬웨어로, 최근에는 ‘AhnLab’ 폴더를 감염 제외 폴더로 삼은 버전업이 등장하기도 해 국내 사용자들의 주의가 요구되기도 했다. 문제는 헤르메스의 경우 PC를 바로 감염시키는 것이 아니라, 사용자의 PC 사용 패턴을 파악해 자주 사용하는 파일을 암호화하는 방식을 취한다. 잠복기를 거치기 때문에 백신 프로그램으로도 발견되기 쉽지 않다. 래피드의 경우 한번 감염되면 1분 단위로 악성 스크립트를 재실행하는 방식으로 파일을 암호화하는 랜섬웨어인데, 윈도우를 부팅해도 자동 실행되는 방식을 취하고 있어 지속적인 피해를 입을 수 있다. 래피드는 주로 메일의 첨부 파일 형식으로 유포된다.

무시무시한 랜섬웨어, 예방법은?

랜섬웨어는 한번 감염되면 사실상 해결할 수 있는 방법이 없다. 가장 확실한 방법은 해커가 요구하는 비용을 지불하는 것이겠지만, 이 또한 파일이 완전히 복구된다는 보장이 없다. 그래서 랜섬웨어는 그 어떤 악성 프로그램 중에서도 예방이 가장 중요하다.

​

▲​주기적인 백업이 중요하다

가장 현실적인 랜섬웨어 예방법으로는 주기적으로 중요한 파일들을 백업해두는 것이다. 혹시라도 랜섬웨어에 감염됐더라도 PC를 포맷하고 백업해둔 파일을 다시 복구할 수 있기 때문에 별도의 비용을 지불할 필요가 없다. 백업 파일은 외장하드나 용량이 큰 웹하드 등에 저장해두는 것이 좋다. 실제로 최근에 등장하는 랜섬웨어는 사용자 PC의 ‘윈도우 복원 시점’을 삭제해 시스템 복구를 방해하기 때문이다.

가장 간편하면서도 쉽게 예방할 수 있는 방법은 바로 백신 프로그램을 사용하는 것이다. 요즘에는 랜섬웨어 전용 백신 프로그램이 있기 때문에 필수로 설치해두는 것이 좋겠고, 특히 보안 업체들은 일반 사용자보다 새로운 유형의 랜섬웨어에 가장 빠르게 대응하기 때문에 백신 프로그램은 늘 새로운 버전으로 업데이트해두는 것이 좋다.

​

▲​늘 최신 버전을 유지하자

같은 맥락에서 랜섬웨어는 프로그램의 특정 버전에서 작동하도록 제작됐기 때문에, 응용 프로그램이나 운영체제를 늘 최신 버전으로 업데이트하는 것이 중요하다. 아무리 부지런한 해커들이라지만, 새로운 버전에 대응하는 랜섬웨어를 제작하는 것보다 버전을 업데이트하는 것이 더 빠르기 때문에 아무래도 감염될 확률이 더 적다.

이 외에도 랜섬웨어가 실제로 공격 방식으로 사용하는 감염 경로를 인지하고 있는 것 또한 도움이 된다. 이메일 첨부파일이나 확인되지 않은 링크 등을 섣불리 실행해서는 안 되고, 해외 사이트에 자동으로 설치되는 파일을 영구히 삭제해야 한다. 유료 프로그램을 설치해야 할 때는 공식 사이트를 통해 구매할 것을 권장한다.

김지연 기자 press@appstory.co.kr