해킹의 진화 '랜섬웨어'…제3자 판매→피해자에 직접 돈 요구

우크라이나 정부는 27일(현지시간) 공식 페이스북 계정을 통해 랜섬웨어 ‘페트야(Petya)’에 감염된 컴퓨터 화면을 공개했다.

[이데일리 김형욱 방성훈 기자] 해킹 방식이 진화하고 있다. 과거엔 기업의 민감한 정보나 개인정보를 빼내 암시장에 내다 팔았다면, 이제는 컴퓨터에 악성 코드를 삽입해 암호화한 후 이를 인질 삼아 피해자에게 직접 돈을 요구하는 랜섬웨어(Ransomware) 공격 방식으로 바뀌고 있다. 랜섬웨어는 컴퓨터 사용자의 파일을 인질 삼아 돈을 요구하는 악성 프로그램으로, 몸값을 뜻하는 랜섬(Ransome)과 소프트웨어(Software)의 합성어다.

끝나지 않은 랜섬웨어 공포…러·유럽 이어 美·남미로 확산

27일(현지시간) 우크라이나를 시작으로 러시아, 영국, 프랑스 독일 등 유럽 9개국에서 ‘페트야(Petya)’라는 랜섬웨어 해킹 피해가 잇따르고 있다. 현재는 미국과 아르헨티나 등 북미와 남미까지 확산되는 추세다. 지난 달 전세계 150여개국에서 30만대 이상의 컴퓨터를 감염시키며 사상 최대 피해 규모를 냈던 ‘워너크라이(WannaCry)’ 랜섬웨어 공격 이후 한 달여 만이다.

가장 피해가 큰 국가는 러시아와 우크라이나다. 두 나라에서만 80개 이상의 기업들의 컴퓨터 시스템이 마비됐다. 우크라이나에선 키예프 보리스필 국제공항의 출입국 전산망과 발권시스템이 마비됐으며 러시아에선 국영석유회사인 로스네프트와 철강기업 예브라즈가 피해를 입었다. 이외에도 덴마크 해운회사 AP몰러머스크, 미국 제약회사 머크, 영국의 세계 최대 광고회사 WPP, 프랑스 건축자재 및 유리 제조기업 생고뱅 등에서 피해가 확인됐다. 보안업체 카스퍼스키랩은 현재까지 약 2000대의 컴퓨터 시스템이 감염됐다고 전했다.

공격을 받은 컴퓨터에서 사진과 동영상을 열려고 하면 검은 색 화면에 빨간 글씨로 “300달러(한화 약 34만원)를 송금하면 복구할 수 있는 키를 제공하겠다”는 문구와 함께 관련 프로그램을 다운로드받을 수 있는 인터넷 주소가 뜬다. 지급방식은 디지털 가상 화폐인 비트코인이다. 이는 지난 달 워너크라이 랜섬웨어 공격 때 해커들이 돈을 요구한 방식과 동일하다. 비트코인 거래소 블록체인의 거래 내역에 따르면 최소 30명이 이번 랜섬웨어 공격에 따른 비용을 지불한 것으로 알려졌다.

윈도우즈 운영체제(OS)의 파일공유(SMB) 취약점을 파고들어 컴퓨터를 감염시키는 ‘이터널 블루(Eternal Blue)’란 툴이 활용됐다는 점도 워너크라이 때와 같다. 이터널 블루는 섀도우 브레이커스라는 해커 그룹이 미 국가안보국(NSA)으로부터 훔쳐낸 것으로 알려졌다.

전문가들은 워너크라이 사태 이후 한 달여가 지났는데도 피해가 늘어나고 있는 것에 대해 기업들 책임이 크다고 지적했다. 특히 해커들이 주요 인프라를 마비시키고 기업·정부의 네트워크를 마비할 정도로 강해졌다는 사실을 제대로 인지하지 못하고 있다는 분석이다. 사이버 보안기업 시큐어 아이디어의 대표 케빈 존슨은 “사이버 공격이 우리를 너무 간단히 파괴하고 있다”면서 “기업들이 문제 해결을 위해 필요한 일을 하지 않는다”고 꼬집었다.

“개인정보로는 더이상 돈 못벌어” …비트코인 출현도 기여

이처럼 최근 해킹 방식은 전세계적인 동시다발적 랜섬웨어 공격으로 전환되는 추세다. 또 각국 정부와 공공기관, 기업은 물론 개인까지 공격대상으로 삼고 있다. 이같은 변화가 일어나게 된 것은 해커들이 과거의 해킹 방식으로는 더 이상 돈을 벌어들일 수 없기 때문이라고 블룸버그통신은 분석했다.

해커들은 그동안 정부나 기업 등에서 빼낸 정보를 제3자에게 판매하는 방식으로 돈을 벌었다. 하지만 유출된 개인 정보가 과포화 상태에 이르러 더 이상 수익을 올릴 수 없게 됐다. 실제로 2015년 유출됐던 미국 유권자 약 2억명의 개인 정보가 이미 인터넷 상에 떠돌아 다니고 있어 누구나 쉽게 다운로드 받을 수 있을 정도다. 야후에서도 2013년 10억명, 2014년 5억명의 개인정보가 해킹당한바 있다.

결국 개인 정보 가격은 터무니없이 하락했고 해커들은 돈을 벌기 위해 다른 방법을 택하게 된 것이다. 이는 데이터 상으로도 확인된다. 미국 통신업체 버라이즌커뮤니케이션스에 따르면 랜섬웨어를 이용한 해킹 공격이 지난 해 50% 급증했다. IBM 조사 결과에서도 지난 해 랜섬웨어 해킹 방식이 40% 늘어난 것으로 나타났으며, 시만텍 역시 작년에 랜섬웨어 감염이 46만3000건으로 전년 대비 36% 증가했다고 밝혔다.

보안 전문업체 센티널원의 보안 전략 책임자 제레이아 그로스먼은 “암거래 시장에서 판매되는 신용카드 및 신원 정보 데이터가 과포화 상태에 이르러 해커들이 돈을 버는 것이 힘들어졌다”면서 “이젠 제3자에게 데이터를 판매하기 보다는 피해자가 직접 돈을 지불하도록 요구하고 있다”고 말했다.

해커들이 공격 방식을 바꾸게 된 데에는 비트코인도 크게 기여했다. 랜섬웨어 해킹 방식이 지난 해부터 급증했는데, 이는 비트코인이 전 세계적으로 유행했던 시기와 맞물린다. 전세계적으로 아직 마땅한 감시·규제 방안이 없는 비트코인은 해커뿐 아니라 이슬람국가(IS) 등과 같은 테러 단체나 범죄 조직에게도 유용한 자금 통로로 활용되고 있다.

러시아·북한 배후로 지목…당사국들은 부인

전문가들은 이번 페트야 랜섬웨어 공격은 지난달 워너크라이 때만큼 확산하지 않을 것으로 전망했다. 윈도우즈 업데이트만으로도 이터널 블루 코드 방식의 공격을 막을 수 있다는 이유에서다. 마이크로소프트(MS)는 “현 MS 안티바이러스 소프트웨어로 랜섬웨어 공격을 막고 제거할 수 있다”면서 “고객 보호를 위해 분석과 함께 적절한 조치를 취할 것”이라고 밝혔다. 미 국토안보부도 비트코인을 지불하더라도 PC가 복구되리란 보장이 없다며 피해를 입더라도 돈을 지불하지 말 것을 당부했다.

한편 이번 공격의 배후 역시 지난 워너크라이 때와 마찬가지로 다양한 추정만 나올 뿐 단정짓기는 어려울 전망이다. 우크라이나는 러시아 출신 해커를 지목했으며, 일부 전문가들도 러시아 정부나 북한 정부가 그 배후라고 주장하고 있다. 하지만 당사국들은 이를 부인하고 있다.