복호화 어려운 고도 암호화로 피해 회복 어려워
KISA, 5대 수칙과 데이터 백업으로 사전 예방 강조
감염 시 외부 저장장치 해제와 즉각적 신고가 핵심
(문화뉴스 윤세호 기자) 랜섬웨어는 데이터를 암호화해 금전을 요구하는 악성코드로, 감염 예방과 신속한 대응이 중요하다. 최근 피해 사례는 줄어든 편이지만, 방심하면 언제든 개인이나 기업에게 막대한 손해를 끼칠 수 있다.
한국인터넷진흥원(KISA)이 지난 2023년 발간한 ‘랜섬웨어 대응 가이드라인’에 따르면, 랜섬웨어의 개념과 유형, 감염 경로, 주요 피해 사례, 대응 절차 및 예방 수칙 등이 정리돼 국민과 기업을 대상으로 한 실질적인 안내 체계가 구축됐다.
랜섬웨어는 ‘Ransom(몸값)’과 ‘Software(소프트웨어)’의 합성어로, 시스템 파일이나 문서, 이미지, 영상 등을 암호화하고 사용 불가능한 상태로 만든 뒤, 복호화를 위한 금전을 요구하는 악성 프로그램이다.
지난 1989년 AIDS 랜섬웨어로부터 시작된 이 악성코드는, 국내에서는 2015년 한글판 크립토락커(Cryptolocker)가 유포되면서 본격적으로 사회 문제로 부각됐다. 윈도우 운영체제를 주요 타깃으로 하지만, 스마트폰이나 맥OS에서도 감염 사례가 보고되고 있다.
감염 방식은 이메일 첨부파일 또는 URL을 통해 유포되는 전통적인 방식 외에도, 보안이 취약한 웹사이트 접속, 이동식 저장장치 등을 통해 진화하고 있으며, APT(지능형 지속 위협) 공격처럼 특정 대상에 맞춘 정밀 공격 방식으로 확산되고 있다.
주요 증상으로는 파일 확장자 변경, 데이터 암호화, 운영체제 부팅 불가, 바탕화면 이미지 변경, 금전 요구 알림창 등이 있으며, 복호화가 사실상 불가능한 경우도 많다. 특히 볼륨 섀도 복사본 삭제를 통해 시스템 복구 기능까지 무력화시키는 사례도 존재한다.
피해 사례로는 지난 2017년 전 세계 150개국, 30만 대 이상의 시스템을 감염시킨 워너크라이(WannaCry) 사례를 비롯해, 국내 호스팅사 서버를 타깃으로 한 에레버스(Erebus), 우크라이나 회계 SW를 통해 확산된 페트야(Petya) 등 다양한 사례가 존재한다.
이후에도 다크사이드(DarkSide), 블랙캣(BlackCat), 클롭(Clop), 락빗(LockBit) 등으로 진화하며 공급망 공격이나 정보유출형 위협도 증가하고 있다.
사전 예방 차원에서 한국인터넷진흥원은 다음과 같은 ‘5대 수칙’을 제시하고 있다. 모든 소프트웨어를 최신 상태로 유지하고, 백신 소프트웨어를 업데이트하며, 출처 불명확한 이메일 및 메시지 URL 실행을 금지하고, 중요 파일은 외부에 정기 백업하며, 신뢰할 수 없는 사이트를 사용하지 않는 것이다.
기업은 특히 중앙관리솔루션, 인터넷에 노출된 서버, 중요 관리자 PC, 백업 서버 등 주요 접점의 침투 경로를 철저히 차단해야 하며, 이를 위한 망분리, 접근통제, 백업관리, 스팸메일 차단 솔루션 도입 등 종합적인 기술 및 관리적 방안을 수립해야 한다.
또한, 중요 시스템 없이도 서비스를 지속할 수 있는 비즈니스 연속성 계획과 복구 테스트를 정기적으로 수행할 필요가 있다. 사고 대응 능력을 키우기 위해서 자가 점검 및 취약점 패치를 진행하는 것도 방법이다.
감염 발생 시에는 외부 저장장치 연결을 해제하고, 네트워크 차단, 전원 유지, 감염 증상 확인 등 즉각적인 대응이 필요하다. 이후 KISA나 경찰청 등 관련 기관에 증거 화면과 함께 즉시 신고해야 하며, KISA 및 보안업체에서 제공하는 복구도구나 ‘노모어랜섬’ 사이트를 이용해 복호화 가능 여부를 확인할 수 있다.
또한, 해커에게 금전을 지불하더라도 복구를 보장받을 수 없으며, 추가 범죄 표적이 될 위험이 있으므로, 정부와 KISA는 복호화 비용 지불을 지양하고 공식적인 신고 및 기술 지원을 받는 것을 권장하고 있다.
한편, KISA는 중소기업을 위한 ‘데이터금고’ 구축 및 침해사고 피해지원 서비스를 제공하고 있으며, 지난 24일 '랜섬웨어 대응을 위한 데이터백업 8대 보안수칙'을 공개하며 추가적인 지원에 힘쓰고 있다.
문화뉴스 / 윤세호 기자 press@mhns.co.kr