지난 10일 한국인터넷진흥원(원장 백기승, KISA)이 발표한 ‘2016년 랜섬웨어 동향 및 2017년 전망’에 따르면 지난해 랜섬웨어 피해 민원접수건은 총 1438건으로 전년 770건에 비해 86.8% 늘었다. 특히, 4분기에 랜섬웨어 민원이 몰렸다. 1분기 176건, 2분기 353건, 3분기 197건에서 4분기에는 712건으로 급격하게 증가했다.

랜섬웨어는 몸값(Ramsom)과 소프트웨어(Software)의 합성어로, 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성프로그램이다. 2015년 4월 국내에 광범위하게 유포되기 시작해 지난해부터 빠르게 증가하기 시작했다.

다른 악성코드와 달리 랜섬웨어는 백신을 통한 치료만으로는 암호화된 데이터를 복구할 수 없다. 또, 사용자에게 직접적으로 금전을 요구하는 만큼 수익이 높아 사이버범죄자들이 랜섬웨어로 몰리고 있다. 최근에는 컴퓨터 지식이 없어도 전문 대행업자에게 비용만 지불하면 랜섬웨어를 제작·유포할 수 있는 서비스형 랜섬웨어(RaaS)가 등장하기도 했다.

이스트소프트가 지난해 백신프로그램 알약을 통해 차단한 랜섬웨어 공격은 총 397만4658건에 달한다. 한국인터넷진흥원에서 분석한 랜섬웨어 악성코드 수도 전년대비 약 3.5배 증가했다.

미국 연방수사국(FBI)은 지난해 랜섬웨어 피해액이 약 1조2000억원(10억달러)에 이를 것으로 추정했다. 국내 랜섬웨어로 인한 피해액의 경우, 3000억원에 달할 것으로 예측된다.

랜섬웨어 종류별로는 상반기에는 79% 비율로 주로 록키(Locky)가 사용됐다. 하반기에는 케르베르(Cerber)가 52% 점유율을 차지했다. 케르베르는 서비스형 랜섬웨어의 대표적인 예로, 지속적인 업데이트를 통해 관리·유지에 힘쓰는 것으로 알려졌다.

랜섬웨어는 홈페이지 취약점 악용 및 파일공유 사이트를 이용한 유포방식이 일반적이었으나, 지난해에는 사회공학적 공격방법을 이용한 스팸메일, 광고서버를 해킹해 악성코드를 유포하는 멀버타이징 기법 등의 형태를 취하는 사례가 발견됐다.

국내에서는 유창한 한국어를 구사하고, 특정 타깃과 상황에 맞춤화된 메일을 보내 랜섬웨어 다운로드를 유도했다.

이와 관련해 시기적으로 관심이 높은 ‘연말정산’ 안내를 위장한 메일이 발견됐다. 주요 산업기반 시설 등에 유포됐으며, 첨부파일을 실행하게 되면 랜섬웨어에 감염되게 된다. 또, 사내 내부지침 사항을 미리 공지한다는 메일을 기업 및 국가기관에게 다량 유포한 비너스락커 변종 랜섬웨어도 등장한 바 있다. 이 외에도 신년회, 송년회, 영수증 첨부 등을 사칭한 랜섬웨어가 나타났다.

올해에는 기존 방식과 함께 더욱 진화된 랜섬웨어가 등장할 전망이다. 특히, 2017년에는 대선, 헌법재판소 결정, 특검 등 사회·정치적 이슈를 노린 랜섬웨어 유포가 늘어날 것이다. 북한의 금융 수익 목적의 해킹 활동이 랜섬웨어로 확대될 가능성도 있다.

올해 랜섬웨어는 지능형지속위협(APT) 공격과 결합된다. 막대한 몸값을 지불한 수 있는 기업·기관을 표적으로 랜섬웨어가 유포될 것이다. 이메일을 통한 기업임원 PC 또는 취약한 시스템에 대해 랜섬웨어가 집중되며, 기업 내부 암호화 솔루션(DRM) 취약점을 노릴 수 있다. DRM 암호화에 사용되는 키 값을 변경해 암호화를 적용한 후 몸값을 요구하는 형태다.

카스퍼스키랩에 따르면 지난해 10월 기업 대상 랜섬웨어는 40초마다 한 번씩 발생했다. 지난해 1월의 경우, 매 2분마다 기업 대상 공격이 등장했었다. 전세계적으로는 기업 5개 중 1곳이 랜섬웨어 공격에 따른 IT 보안사고를 겪었으며, 중소·중견기업 5개 중 1곳은 대가를 지불해도 파일을 찾지 못했다.

아울러, 소셜네트워크서비스(SNS) 계정을 해킹해 지인에게 메시지를 보내거나 랜섬웨어 유포 단축 인터넷주소(URL)을 전파해 클릭을 유도하는 것도 가능하다. 또, 랜섬웨어 분석 지연 및 백신 우회를 위한 지능화 기술 등도 지속적으로 나타날 것이다.

랜섬웨어 피해를 예방하기 위해서는 ▲모든 소프트웨어 최신버전 업데이트 ▲백신 소프트웨어 설치 및 최신 버전 업데이트 ▲출처가 불명확한 이메일·URL 링크 실행하지 않기 ▲파일공유사이트 등에서 파일 다운로드 및 실행 주의 ▲중요 자료 정기적 백업 등을 지켜야 한다.

다만, 최근 랜섬웨어는 PC에 연결된 저장장치·클라우드 등의 파일까지 모두 암호화하기 때문에 백업장치는 별도로 보관해야 한다.

<최민지 기자>cmj@ddaily.co.kr