본문 바로가기

[NEW tech NEW trend] 풀어줄게 돈 내놔 … 스마트폰 인질극

중앙일보 2015.09.11 00:22 경제 2면 지면보기
중소기업 A사는 최근 서버에 저장된 데이터베이스(DB)가 마비돼 홍역을 치렀다. 해킹 공격을 받은 것처럼 각종 주요 업무파일은 열 수가 없었고, 홈페이지 서비스도 중단됐다. 서버 관리자에게 보내진 e메일에는 “당신 회사의 DB는 암호화됐다. 복구하려면 돈을 보내라”는 섬뜩한 메시지가 남아 있었다.


PC → 스마트기기 … 랜섬웨어의 진화
익숙한 앱이나 성인용 앱으로 위장
감염시킨 뒤 파일 잠그고 결제 요구
사물인터넷 전반으로 확대될 수도

 보안업체 이스트소프트가 소개한 ‘랜섬웨어’의 피해사례다. 랜섬웨어는 악성코드의 하나로, 사용자의 PC 등에 저장된 파일을 해커가 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬’(ransom·몸값)이라는 수식어가 붙었다. 기존 랜섬웨어는 PC 내 데이터만 암호화해 ‘사이버 인질극’을 벌였지만 최근에는 이처럼 웹서버를 공격하는 ‘랜섬웹’이 등장하고, 스마트폰·웨어러블 기기 등으로 공격 대상을 넓히는 등 빠른 속도로 진화하고 있다.





몸값(ransom)과 SW 합성어 ‘랜섬웨어’



 이스트소프트 김진욱 팀장은 “랜섬웨어는 주로 e메일 등을 통해 간접 전파되는 경우가 많았지만 최근에는 직접적인 해킹 공격을 수반하기도 한다”며 “한국어를 포함한 다국적 언어를 지원하는 형태로 갈수록 지능화되고 있는 추세”라고 전했다.



 10일 보안업계에 따르면 최근 확산되고 있는 것은 스마트폰 랜섬웨어다. 공격자는 ‘어도비 플래시 플레이어’ 등 잘 알려진 프로그램을 사칭한 악성 애플리케이션을 제작하고 유포한다. 사용자가 해당 앱을 설치하면 랜섬웨어에 감염되며, 스마트폰 화면은 ‘5일 안에 100달러를 입금하라’는 내용의 문구가 담긴 감염화면으로 바뀐다. 다른 화면으로 전환하는 등의 조작은 불가능하다.



랜섬웨어에 감염된 스마트폰의 화면. 랜섬웨어는 시스템을 잠그고 주요 파일을 암호화한다. 다른 화면으로 전환하는 등의 조작이 불가능하다. 복구하는 대가로 100달러를 요구하고 있다. [안랩 제공]
 포르노 웹사이트로 유도한 다음 앱을 강제로 다운로드시키는 수법도 사용된다. 해당 앱을 실행하면 ‘포르노를 시청·배포한 혐의로 징역형이 선고된다’는 문구와 함께 300달러의 벌금을 내야한다고 협박한다. 백신 앱으로 위장하는 경우도 있다. 가짜 바이러스 검사를 실행한 후 스마트폰이 감염됐다며 100달러짜리 백신 앱 결제를 유도한다. 결제를 하지 않으면 몇시간 후 스마트폰 화면이 잠겨 사용할 수가 없게 된다.



 협박 방법도 더욱 악랄해지고 있다. ‘어덜트 플레이어’라는 앱으로 위장한 랜섬웨어는 사용자가 성인 동영상을 보는 모습을 도촬해 돈을 요구한다. 사용자가 해당 앱을 실행해 이른바 ‘야동’을 재생하면 스마트폰 앞면 카메라가 구동되면서 사용자를 촬영한다. 그 뒤 사진이 뿌려지는 걸 원치 않는다면 500달러를 내라는 식의 메시지를 뜨게 한다.



 주로 안드로이드 스마트폰에서 발견되지만 아이폰도 ‘안전지대’는 아니다. 최근 아이폰 사용자들의 애플 계정 22만5000개가 해킹으로 유출되면서 일부 피해자들은 잠금을 풀어주는 대가로 돈을 요구하는 랜섬웨어에 감염되기도 했다. 미국의 정보기술(IT) 매체 테크인사이드는 “탈옥(사용자가 임의로 스마트폰 사용환경을 바꾸는 것)한 아이폰 사용자들을 대상으로 했다”고 설명했다.



 이런 스마트폰 랜섬웨어는 출처가 불분명한 사설 앱을 다운로드 받을 때 감염되는 경우가 많다. e메일·메신저·소셜네트워크서비스(SNS)를 통해 전파된 첨부 파일을 실행하거나, 감염 웹사이트를 방문하면 랜섬웨어가 심어지는 사례도 있다.



 PC를 대상으로한 랜섬웨어도 기승을 부리고 있다. 감염되면 PC에 저장된 문서·그림 파일은 복잡한 알고리즘으로 암호화된다. 따라서 파일을 열더라도 전혀 알아볼 수 없는 내용으로 나온다. 해커는 피해자에게 파일을 원래대로 되돌리는 조건으로 돈을 내라고 독촉한다. 돈을 지불하지 않으면 시간이 지날수록 ‘몸값’이 올라가며, 아예 영원히 파일을 복구할 수 없게 만든다고 협박한다. 일부 랜섬웨어는 아예 ‘고객지원 창’까지 만들어 놓았다. 이를 통해 연락하면 암호화된 파일을 하나만 복구시켜 주면서 돈을 내라고 요구한다.



 랜섬웨어 공격은 웨어러블·사물인터넷(IoT) 기기로까지 확산되는 추세다. 시만텍코리아에 따르면 스마트폰이 감염되면 이와 연동한 스마트워치까지 기능을 마비시키는 랜섬웨어가 발견됐다. 같은 원리로 다른 웨어러블 기기도 랜섬웨어의 표적이 될 수 있다는 게 시만텍의 설명이다. 시만텍코리아 윤광택 상무는 “범죄자들이 보이스피싱·파밍 등이 더 이상 돈이 되지 않는다는 것을 알고 랜섬웨어로 눈을 돌릴 가능성이 있다”며 “앞으로는 스마트카, 스마트홈 등 다양한 IoT 환경을 위협하는 사이버 공격으로 확장될 것”이라고 말했다.



 이처럼 랜섬웨어가 늘어나는 이유는 돈이 되기 때문이다. 시만텍에 따르면 랜섬웨어에 피해를 본 사용자의 2.9%가 해커들에게 돈을 지불한 것으로 추정된다. 랜섬웨어를 널리 퍼뜨릴수록 해커들 손에 떨어지는 돈이 많아지는 것이다. 특히 최근에는 개인정보를 공개하지 않고도 거래할 수 있는 비트코인(온라인 거래에서만 쓰이는 디지털 화폐)의 상용화로 자금세탁이 쉬워진 점도 랜섬웨어 공격을 부추기는 요인으로 작용하고 있다.





미·일·영 순 피해 … 한국도 안전하지 않아



 그래서 랜섬웨어는 국내총생산(GDP)이 높거나 인구가 많은 국가를 중심으로 빠르게 퍼지고 있다. 랜섬웨어 공격을 가장 많이 받은 국가는 미국이며, 이어 일본·영국·이탈리아·독일·러시아 순이었다. 상위 12개 국가 중 10개 국가가 ‘G20’ 회원국이다. 한국은 랜섬웨어 공격을 많이 받는 상위 국가에는 포함돼 있지 않다. 그러나 지난해부터 국내에서 감염사례가 본격적으로 보고되기 시작했고, 올 상반기에는 한글판 랜섬웨어까지 발견됐다. doc·zip·jpg·ppt 등 세계적으로 통용되는 파일뿐 아니라 한국인들이 많이 사용하는 hwp 같은 파일도 노린다.



 랜섬웨어에 감염되면 치료가 만만치 않다. 일단 시스템을 잠그는 랜섬웨어에 걸리면 기기를 안전모드로 부팅해 해당 프로그램을 삭제해야 한다. 스마트폰에서는 전원 버튼을 수 초간 누르면 전원 옵션 화면이 표시되는데, 이때 ‘종료’ 메뉴를 수 초간 터치하면 ‘안전 모드로 다시 부팅’이라는 메시지 화면이 뜬다. 이후 기기 관리자(휴대폰 관리자) 메뉴에서 랜섬웨어를 포함하고 있는 악성 앱의 비활성화에 체크한 뒤 해당 앱을 제거하면 된다.



 하지만 파일을 암호화하는 랜섬웨어는 악성코드를 찾아 없앤다 해도 문제가 해결되지 않는다. 이미 암호화된 파일은 해커가 별도로 설정해 놓은 알고리즘 암호를 해독하지 않는 한 풀 수 없기 때문이다. 그렇다고 해커의 말을 믿고 돈을 보내도 암호화된 파일이 복구될 가능성은 낮다는 게 보안업계의 설명이다. 랜섬웨어가 ‘사상 최악의 악성코드’라는 악명을 떨치는 이유다.



 랜섬웨어 피해의 예방법은 악성코드·바이러스의 침입을 막기 위한 보안 수칙과 동일하다. 보안전문가들은 출처가 불분명한 e메일이나 첨부 파일을 열지 말고, 수상한 웹페이지 링크를 클릭하지 말 것을 당부한다. 또 출처가 불명확하거나 신뢰할 수 없는 곳에서 제공하는 앱·프로그램을 설치해서는 안되며, 백신 프로그램 등을 최신 상태로 유지하는 것이 필요하다. 만일의 피해에 대비해 주요 파일을 따로 저장(백업)해 두는 것도 좋은 방법이다.



손해용 기자 sohn.yong@joongang.co.kr
미세먼지 실험 아이디어 공모, 이벤트만 참여해도 바나나맛 우유가!
공유하기
광고 닫기

미세먼지 심한 날엔? 먼지알지