[디지털데일리 최민지기자] 해커들이 사이버인질극을 위한 공격을 지속 시도하고 있다. 최근 국내에서 발생한 랜섬웨어 건수가 폭증하고 있다. 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 후, 이를 인질로 삼고 금전을 요구하는 악성코드다.

한국인터넷진흥원(KISA)의 ‘2분기 사이버위협 동향 보고서’에 따르면 올해 상반기 랜섬웨어 피해접수 건수는 4540건이다. 지난해 발생한 랜섬웨어 피해접수는 총 1438건으로, 올해 상반기에만 지난해 전체의 3배 이상 규모의 랜섬웨어 피해가 나타난 것이다. 2015년에는 770건이었다.

올해 랜섬웨어가 급증한 이유는 4월과 5월에 발생한 대규모 랜섬웨어 감염사고와 연관지을 수 있다. 이 때 발견된 랜섬웨어 변종이 나타나 2분기 랜섬웨어 피해접수가 확대된 것으로 보인다. 올해 상반기 접수된 랜섬웨어 건수는 1분기 990건, 2분기 3550건이다. 1분기보다 무려 3.5배 증가했다.

1분기 강세를 보인 랜섬웨어가 2분기 때 폭증한 것. 변종 및 신종 랜섬웨어도 계속 발견되고 있다. 가장 많이 유행한 악성코드인 랜섬웨어는 2분기 수집된 436개 악성코드 중 255개를 차지했다. 랜섬웨어 비중은 58.5%로, 전분기 대비 14.5%p 늘었다.

운영체제 취약점을 악용해 전파되는 웜형 랜섬웨어인 ‘워너크라이(WannaCry)’의 등장으로 2분기 랜섬웨어 감염 피해 신고건수는 급격히 늘었다. 웜은 네트워크를 사용해 자신의 복사본을 전송할 수 있는 형태의 악성코드다.

지난 5월 파일 및 주변 장치들을 공유하는 목적으로 사용하는 SMB(Server Message Block) 프로토콜 취약점을 공격해 전파되는 워너크라이 랜섬웨어가 등장했다. 이례적으로 해당 취약점에 대해 마이크로소프트가 서비스 지원 중지를 선언하는 윈도XP 등에 대한 보안패치를 배포할 정도로 고위험군 취약점이었다. 워너크라이는 한국뿐 아니라 전세계에 퍼지며 피해를 입혔다.

또한, 리눅스에서 동작하는 ‘에레버스(Erebus)’ 랜섬웨어는 국내 웹호스팅 업체인 인터넷나야나의 운용 서버를 대규모 감염시켰다. 에레버스는 리눅스 웹서버 153대를 감염시키고 주요파일, 백업파일, 호스팅 서비스 이용고객들의 파일까지 모두 암호화시켰다.

해당 업체는 해커와 13억원으로 협상까지 한 만큼 수익을 목적으로 한 해커들이 한국을 타깃할 가능성이 높다. 이에 한동안 랜섬웨어 강세가 계속될 것으로 전망된다.

이 외에도 각종 랜섬웨어가 나타나 피해자들을 울렸다. 지난해 개인정보 유출사고를 낸 인터파크를 사칭해 랜섬웨어 감염을 시도한 공격도 있었다. 개인정보유출 관련 사과 공지 및 보상정책 안내와 관련한 메일에는 비너스락커 변종 랜섬웨어를 실행하는 악성파일이 포함돼 있었다. 교통법규 위반 과태료 고지서 등으로 위장한 랜섬웨어도 확인됐다.

워너크라이가 사용한 SMB 취약점을 탑재한 변종 ‘페트야(Petya)’도 등장했다. 지난달에 나타난 변종 페트야는 부팅 불능으로 만든 후 파일을 암호화할 뿐 아니라 SMB 취약점 공격기능을 추가해 자체 전파 기능까지 갖췄다.

이러한 랜섬웨어는 금전적 피해뿐 아니라 다양한 형태의 해킹 피해로 이어질 수 있다. 이에 대응하려면 기업 및 개인은 사전에 예방할 수 있도록 기본 보안수칙을 준수해야 한다. 사용 중인 운영체제와 소프트웨어 보안업데이트를 최신으로 유지하고, 주기적인 백업과 백업본의 보안관리에 유의해야 한다.

KISA 측은 “최근 웹 호스팅 서비스 업체는 랜섬웨어에 감염된 파일 복호화 비용으로 약 13억 원의 비트코인을 지불하며 전 세계적으로 해커와 협상한 이례적인 사건으로 기록됐다”며 “이러한 선례는 디도스(DDoS) 공격, 개인정보 유출, 시스템파괴 협박 등 다양한 미끼를 수단으로 금전(가상화폐) 요구 사례의 증가 원인이 될 것으로 우려된다”고 말했다.

이어 “특히 페트야 랜섬웨어와 같이 내부망으로 전파되는 악성코드에 감염되지 않도록 내부망 보안관리에 특별히 신경써야 한다”며 “운용 중인 소프트웨어 보안성을 점검하고 업데이트 및 로그서버 등의 중앙관리를 면밀히 해야 한다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr