데이터 인질 삼는 랜섬웨어..."피해 주의보"

[이데일리 오희나 기자] 영화에서나 볼 법한 ‘인질극’이 인터넷 상에서 발생하고 있다. ‘랜섬웨어’란 신종 사이버 범죄 얘기다.

5일 안랩에 따르면 국내에 가장 많은 피해를 끼친 랜섬웨어는 ‘크립토락커, 크립토월, 테슬라크립트’ 3종이다.

9월부터 11월18일까지 랜섬웨어는 구준히 증가하고 있고 지난 10월에는 암호화된 파일 확장자를 CCC로 변경하는 테슬라크립트 변형이 급증했다.

랜섬웨어는 특정 파일들을 암호화하고, 이를 복원하기 위해서는 결제가 필요하다는 경고문과 절차를 안내한다. 이렇게 암호화된 파일을 인질로 삼아 몸값을 요구하는 악성코드를 랜섬웨어(Ransomware)라고 통칭하고 있다. 공격자는 파일의 암호를 풀어주는 대가로 금전을 보낼 것을 요구하는데 페이팔과 같은 온라인 결제 서비스나 비트코인과 같은 온라인 가상화폐를 요구하기도 한다.

다양한 방법을 통해 불특정 다수를 대상으로 할 수 있다는 점과 감염 PC의 데이터 복구를 위해 대가를 지불하는 피해자가 많은 점이 높은 수익성을 보장한다.

이에 공격 수법도 진화를 거듭하고 있으며 새로운 변종이 지속적으로 등장하고 있다.

무엇보다도 위협적인 것은 유포지를 제대로 파악 할 수 없어 그 피해가 커지고 있다는 점이다. 또한 유포지를 제대로 파악 할 수 없도록 악성코드 제작자들이 ‘멀버타이징(Malvertising)’이라는 교묘한 수법을 사용하기도 한다. 이는 멀웨어(Malware)와 광고(Advertising)의 줄임말로, 광고 또는 애드웨어의 정상적인 네트워크를 이용해 악성코드를 감염 시키는 방법이다. 불특정 다수를 대상으로 감염 시킬 수 있고, 유포지를 찾거나 차단하기 어렵게 만든다.

랜섬웨어는 스팸 메일을 통해 악성코드를 유포하는 방식이 꾸준히 사용되고 있다. 플래시 플레이어, 아크로뱃 리더, 인터넷 익스플로러, 실버라이트, 자바 등의 취약점을 통해 악성코드를 감염시킨다.

사용자가 다운로드 실행 방식으로 유포되는 악성코드에 감염되지 않으려면 사용 중인 각종 애플리케이션을 최신 버전으로 유지하는 것뿐이다.

안랩 관계자는 “최근 3개월간 랜섬웨어의 변형 발견과 탐지 PC 현황을 살펴봤는데 여전히 취약한 웹 응용 애플리케이션을 사용하는 사용자가 많다는 걸 알 수 있었다”며 “다양한 방법을 우회하고 있는 변종 랜섬웨어를 분석한 결과 랜섬웨어 제작자 역시 한국을 노리는 것이 분명하다”고 지적했다.

이어 “사용자들은 ‘멀버타이징’ 기법에 악용 될 수도 있는 애드웨어를 설치하지 않는 중요하다”며 “특히 토렌트, 크랙, 음란물, 무료 게임 사이트 등의 애드웨어를 주의해야 하고, 설치가 되었다면 백신 프로그램을 이용한 제거 또는 애드웨어가 제공하는 삭제(Uninstall) 기능을 이용해 삭제해야 한다”고 당부했다.