[디지털데일리 이민형기자] 지난 21일 새벽 국내 IT커뮤니티인 클리앙에서 유포된 크립토락커(Cryptolocker) 랜섬웨어(Ransomware)가 보안업계의 이슈로 떠오르고 있는 가운데, 보안전문가들은 이번 사건이 재앙의 끝이 아니라 시작일 것이라고 추측하고 있다.

22일 최상명 하우리 컴퓨터침해사고대응팀(CERT) 실장은 “이번에 발견된 크립토락커 랜섬웨어는 한글화돼 유포됐다는 점에 큰 의미가 있다. 해외를 대상으로 활동하던 랜섬웨어 공격자들이 우리나라까지 목표로 삼은 것으로 보인다”며 “과거 파밍용 악성코드 유포시 활용됐던 익스플로잇(Exproit) 도구들이 랜섬웨어 악성코드 유포에 활용되면 더 큰 피해가 예상된다”고 설명했다.

크립토락커 랜섬웨어는 사용자 PC에 저장된 데이터를 암호화시키고 이를 볼모로 금전을 요구하는 악성코드를 뜻한다. 랜섬웨어에 감염되면 사용자 몰래 하드디스크에 있는 파일을 모두 스캔한 뒤, 데이터 암호화를 실시한다. 공격자는 복호화키를 사용자 PC에 저장하지 않고 가져가기 때문에 이를 복구하기란 사실상 불가능하다.

더 큰 문제는 네트워크 서버나 클라우드 서비스에 저장된 데이터에도 영향을 끼친다는 점이다. 랜섬웨어는 물리적, 논리적으로 연결된 모든 드라이브에 접근해 데이터를 암호화한다. 클라우드 서비스도 실시간으로 동기화되기 때문에 이를 피해갈 수 없다.

이번 사건과 관련 보안전문가들은 “랜섬웨어는 복호화를 위해 돈을 지불해도 키를 주지 않는 경우가 대부분이다. 공격자들에게 금전을 지불하는 우를 범해선 안된다”고 강조했다.

한편 랜섬웨어 악성코드에 감염된 파일은 파이어아이와 폭스IT에서 제공하는 복호화 서비스(https://decryptcryptolocker.com)로 일부 복원이 가능하며, 현재 국내 백신은 해당 랜섬웨어를 탐지하는 업데이트가 진행돼 있는 상태다.

◆악성코드 유포 시작은 취약한 광고서버=이번에 발견된 랜섬웨어는 클리앙에서 운영하는 광고서버에서 유포가 시작됐다.

공격자는 광고서버의 취약점을 악용해 관리자 계정을 탈취했고, 이후 메인페이지에 노출되는 광고영역에 드라이브 바이 다운로드(Drive by Download)로 동작하는 악성링크를 삽입했다. 따라서 공격자는 클리앙에 접속하는 모든 사용자들이 공격의 대상으로 삼은 것으로 추측할 수 있다.

공격자가 삽입한 악성링크는 ▲윈도 ▲인터넷익스플로러 ▲구버전 플래시 플레이어 환경에서 동작한 것으로 추정된다. 다만 통상 악성코드 유포에 사용되는 익스플로잇 도구들은 다수의 취약점을 포함해 동작하기 때문에 다른 환경에서 발현될 가능성도 충분히 있다.

보안전문가들은 이번 악성코드가 광고서버에서 시작됐다는 점과 파밍용 악성코드가 아닌 랜섬웨어 악성코드란 점을 주목했다.

업계 관계자는 “공격자들은 관리가 소홀한 광고서버를 노리는 경우가 많다. 적은 노력으로 큰 효과를 볼 수 있기 때문”이라며 “이번 사건은 자체적인 광고서버라 해당 웹사이트 사용자 외 피해는 없었지만, 광고대행사의 광고서버가 탈취될 경우 걷잡을 수 없는 일이 발생할 수 있다”고 설명했다. 실제 과거 구글과 야후도 광고서버 권한 탈취로 악성코드를 유포한 바 있다.

또 파밍용 악성코드가 아니라 랜섬웨어를 배포한 것도 유의미점이다. 유포방식은 유사하나 유포한 악성코드의 성격이 다르다는 점은 새로운 공격집단의 등장일 가능성도 높다.

특히 공격자들이 랜섬웨어로 얻은 금전적인 이득이 파밍으로 인한 이득보다 크다고 판단될 경우, 보다 적극적인 랜섬웨어 악성코드 유포가 우려된다.

◆악독한 랜섬웨어, 대응책은 없나=개인이 랜섬웨어 악성코드에 대응할 수 있는 방안은 운영체제(OS)와 애플리케이션의 업데이트를 최신으로 유지하는 것이다.

이번에 발생한 랜섬웨어 감염사건의 경우도 하위버전 플래시 취약점으로 인해 공격자가 웹브라우저를 넘어 로컬까지 영향을 끼치게 된 것이다.

어도비(Adobe), 오라클은 자사 애플리케이션에 취약점이 발생할 경우 즉시 업데이트를 제작해 배포한다. 시스템 프로세스에 상주하며 업데이트 정보를 실시간으로 받아온다. 윈도에 진입하자마자 뜨는 업데이트 창이 바로 이런식으로 동작하는 형태다.

OS, 애플리케이션 보안 업데이트가 있을경우 미루지 말고 즉시 실행하는 것이 사고를 미연에 방지할 수 있는 방법이며, 익스플로잇 차단 도구나 백신을 사용하는 것도 피해를 예방하는데 도움이 될 수 있다.

특히 주기적인 백업과 백업 디스크의 물리적인 분리, 보관하는 데이터의 속성을 읽기 전용으로 변경하는 것도 랜섬웨어의 피해를 줄일 수 있다.

기업의 입장에서도 보안 업데이트는 매우 중요하다. 기업에서 운영하는 서버들은 언제라도 공격대상이 될 수 있으며, 악성코드 유포지로 악용될 수 있음을 인지하고 DBMS 등의 보안 업데이트 등을 반드시 실시해야 한다.

<이민형 기자>kiku@ddaily.co.kr