지난 5월 초 미국 동부 지역 일대 주유소에는 연료를 채우려는 차량이 몰려들며 장사진을 이뤘다. 미국 최대 송유관 업체인 콜로니얼 파이프라인이 가동을 멈추면서 연료 공급난 우려가 커지며 빚어진 풍경이었다. 콜로니얼 파이프라인이 가동을 멈춘 이유는 다름 아닌, 랜섬웨어(Ransomware) 공격 때문이었다. 미국 동부해안 지역으로 가는 연료 공급을 절반 가까이 책임지는 업체가 사이버 공격으로 마비된 것이다. 콜로니얼 파이프라인은 복구를 위해 해커에게 440만 달러(약 50억 원)를 지불해야 했다.
콜로니얼 파이프라인 사건처럼 개인이나 기업이 랜섬웨어로 막대한 피해를 보는 사례는 최근 몇 년 사이 급증하고 있다. 먼 외국 얘기만은 아니다. 한국인터넷진흥원(KISA)에 따르면 지난해 국내 랜섬웨어 피해 신고 건수는 127건이었다. 2019년 39건에 비하면 3배가 넘는다. NC백화점, 뉴코아아울렛 등을 운영 중인 이랜드그룹도 지난해 말 랜섬웨어 공격을 받아 일부 매장이 운영을 중단하는 피해를 봤다. 지난 16일에는 국내 유명 PC 수리업체 소속 수리기사들이 직접 고객 업체 PC에 랜섬웨어를 설치해 돈을 가로챈 사실이 적발되기도 했다.
랜섬웨어 유형은 다양하지만 대부분 시스템이나 파일 복구 대가로 비트코인을 요구한다는 점은 같다. 시간이 지날수록 더 큰 비용을 요구하는 경우도 흔하다 (출처=셔터스톡)
랜섬웨어는 컴퓨터를 마비시키거나 데이터를 암호화해 사용할 수 없게 한 뒤 이를 복구해주는 대가로 금전을 요구하는 악성코드를 말한다. 컴퓨터를 인질 삼아 몸값(Ransom)을 요구한다는 의미에서 랜섬웨어라는 이름이 붙었다. 첫 등장은 1989년까지 거슬러 올라가지만 지금과 같은 랜섬웨어 형태가 본격적으로 기승을 부린 건 비트코인 등장 이후다. 익명성이 보장되는 비트코인 특성상 추적이 쉽지 않아 범죄자들이 안심하고 몸값을 요구할 수 있게 됐다. 비트코인으로 몸값을 받는 특성 때문에 비트코인 등 암호화폐 가치가 높아질수록 더 기승을 부리는 경향도 있다.
침착하게 초기 대응부터
랜섬웨어 감염을 확인했다면 먼저 피해가 더 커지는 걸 막기 위한 긴급 조치를 해야 한다. 만약 PC에 연결된 USB 저장장치나 외장 하드디스크 등이 있다면 즉시 연결을 해제한다. 랜섬웨어가 이러한 외부 저장장치로도 확산할 수 있기 때문이다.
랜섬웨어 감염을 확인했다면 당황하지 말고 침착하게 초기 대응부터 하자 (출처=셔터스톡)
마찬가지 이유로 랜섬웨어에 감염된 컴퓨터는 인터넷 연결을 차단해야 한다. 랜섬웨어가 내부망을 타고 같은 네트워크에 연결된 다른 기기로도 퍼질 수도 있다. 유선 랜이 연결되어 있다면 랜선을 뽑고, 무선 와이파이에 연결되어 있다면 와이파이를 끈다.
암호화된 파일 복구는 어떻게?
무료 복구 프로그램은 ‘노 모어 랜섬(No More Ransom)’이라는 웹사이트에서 받을 수 있다. 세계 각국 사법기관과 보안기술 업체 등이 참여해 랜섬웨어 피해를 최소화하고 예방하기 위한 목적으로 설립한 프로젝트다.
해커와 협상하거나 복구업체에 연락하기 전에 노 모어 랜섬부터 확인해보자 (출처=노 모어 랜섬)
노 모어 랜섬에 암호화된 파일을 업로드하거나, 랜섬웨어 감염 화면에 나타난 이메일, 웹사이트 주소, 비트코인 주소 등을 입력하면 랜섬웨어 종류를 분석해준다. 복구 프로그램이 있다면 무료로 내려받아서 이용할 수 있다. 2021년 6월 24일 기준 랜섬웨어 149종의 복구 프로그램을 제공한다.
당장 복구 프로그램이 없더라도 암호화된 파일을 저장장치에 따로 안전하게 보관해두었다가 복구 프로그램이 개발될 때까지 기다리는 방법도 생각해볼 수 있다.
최후의 수단, 협상
막상 협상에 응하면 대부분 추가 비용을 요구받거나, ‘손쉬운 먹잇감’으로 인식돼 추가 공격을 받을 가능성만 높아진다. 실제로 보안기술 업체 사이버리즌이 세계 7개국 보안 전문가 1,263명을 대상으로 설문 조사를 진행한 결과 랜섬웨어 공격을 당한 후 피해 비용을 지불한 기업 중 80%가 2차 공격을 당했다.
그러니 가급적 직접 해커와 협상하기보다는 관련 기관에 신고해 도움을 받거나 전문복구기관에 의뢰해 복구를 시도하길 권한다. 랜섬웨어에 감염된 화면이나 암호화된 파일 화면 등을 캡처해 증거를 남긴 후 한국인터넷진흥원 사이버민원센터, 경찰청 사이버안전국에 신고하면 초기대응 지원을 받아 추가 피해를 막을 수 있다.
가장 중요한 건 예방
아무리 보안 전문가나 수사기관에서 협상을 하지 말라고 공식 권고해도, 막상 랜섬웨어 공격을 당하면 다소 위험부담이 있더라도 몸값을 지불할 수밖에 없는 상황인 경우도 많다. 특히 기업들은 더욱 그렇다. 당장 운영이 정상화되지 않으면 기업이 존폐 기로에 설 때도 있다. 피해 사실이 알려지는 것 자체가 커다란 리스크이기도 하다. 많은 기업이 피해 사실을 쉬쉬하면서 거금을 지불하는 이유다. 그러나 이렇게 협상에 응하는 사례가 늘어나면 늘어날수록 랜섬웨어는 더 기승을 부릴 수밖에 없다.
결국 가장 중요한 건 랜섬웨어에 걸리지 않도록 예방을 철저히 하는 것이다. 랜섬웨어도 결국 악성코드의 한 유형일 뿐이므로, 예방법도 기본적으로 악성코드 예방법과 같다. 윈도 운영체제와 백신 등 보안 프로그램을 항상 최신 버전으로 유지해야 한다.
백신은 유료 백신을 써도 되지만 개인 이용자라면 알약, V3 Lite, 네이버 백신 등 무료 백신으로도 충분하다. 윈도10 이용자라면 운영체제에 기본으로 탑재된 윈도우 디펜더 성능도 준수하기 때문에 다른 보안 수칙들을 지키고, 운영체제를 항상 최신 버전으로 유지한다면 별도로 백신을 설치하지 않아도 큰 문제는 없다.
윈도 내장 백신인 윈도 디펜더 성능도 준수하다 (출처=마이크로소프트)
다만 기업이라면 유료 백신은 물론 보안 전문업체들이 제공하는 통합 보안 솔루션까지 받으며 철저히 대비할 필요가 있다. 규모가 작거나, 정보통신과 다소 거리가 있는 기업이라면 랜섬웨어 공격 가능성을 경시할 수도 있지만 PC가 업무에 필수적인 요즘에는 어느 곳이라도 공격 대상이 될 수도 있다.
불법 웹사이트에 접속하거나 불법복제 콘텐츠를 이용하는 것도 금물이다. 악성코드 자체가 이러한 콘텐츠로 위장해 유포되기도 하고, 인가되지 않은 불법 프로그램을 이용하기 위해 보안 조치를 허물다 보면 그만큼 악성코드에 취약해지기도 한다. 개인 PC라면 혼자 피해를 떠안는 걸로 끝나겠지만, 사무용 PC라면 민형사상 책임을 져야 할 수도 있다.
입사 지원 메일에 첨부된 이력서 압축 파일처럼 위장한 악성코드. PDF 파일처럼 보이지만 사실 EXE 파일이다. 파일 종류를 보면 \'응용 프로그램\'으로 나온다 (출처=IT동아)
이메일 열람도 조심해야 한다. 이메일 첨부파일도 악성코드의 주된 유포 경로다. 이력서, 급여명세서 등 정상적인 파일로 가장하고 있지만 실은 악성코드인 경우도 보고됐다. 특히 확장자가 실행파일인 exe라면 악성코드일 가능성이 매우 높다. 출처가 확인된 메일이거나 신뢰할만한 발신인이 보낸 메일이 아니라면 첨부파일을 함부로 내려받아서 실행해서는 안 된다.
첨부파일 이름에 문서(PDF)나 그림(JPG) 등 잘 알려진 파일 확장자를 넣어서 교묘하게 위장하는 경우도 있으니 파일 유형을 주의 깊게 확인할 필요가 있다. 만약 이러한 첨부 파일을 열려고 하는데 운영체제에서 ‘이 앱이 사용자 디바이스를 변경할 수 있도록 허용하시겠냐’는 권한 요청 메시지를 띄운다면 악성코드라고 보면 된다. 정상적인 문서나 그림 파일이라면 이러한 권한을 요청할 일이 없기 때문이다.
NAS와 같은 장비로 데이터를 주기적으로 백업하는 게 가장 중요하다. 사진은 시놀로지 DS720+ (출처=IT동아)
랜섬웨어 대응에 가장 효과적인 건 백업이다. 중요한 파일일수록 복사본을 클라우드, 외부 저장장치, NAS 등 여러 곳에 분산해서 저장해두어야 한다. 보안 전문가들은 3-2-1 백업 규칙을 따르길 권한다. 3-2-1 원칙이란 최소 3개의 복사본을 서로 다른 2가지 형식으로 저장하고, 1개는 외부에 원격으로 저장하는 걸 말한다.
예방법은 아니지만, 랜섬웨어 피해를 사후에 보장받는 ‘사이버보험’에 가입하는 방법도 있다. 지난해 메리츠화재가 보안기술 업체 엑소스피어랩스와 함께 출시한 상품이다. 엑소스피어랩스가 제공하는 구독형 보안서비스에 가입할 때 추가 비용을 내고 보험 상품을 추가하면 된다. PC 1대당 1,000만 원, 기업당 최대 1억 원까지 보장받을 수 있다.
동아닷컴 IT전문 권택경 기자 tikitaka@donga.com