더욱 악랄해지는 '랜섬웨어'…제작 대행 서비스까지 등장
PC의 중요 파일을 볼모로 잡고 금품을 요구하는 랜섬웨어가 일종의 ‘지하경제 서비스산업’의 하나로 진화하고 있다. 안랩이 최근 발표한 ‘1분기 랜섬웨어 트렌드’에 따르면 특정 공격자가 악성코드를 유포하는 형태를 넘어 랜섬웨어 제작·배포를 대행하는 ‘서비스형 랜섬웨어(RaaS: ransomware as a service)’까지 나타나 각별한 주의가 요구된다.

○제작·배포 대행 서비스까지 등장

피해자 데이터를 암호화하고 가상화폐 비트코인 등을 요구하는 랜섬웨어를 제작·배포하려는 사람을 대신해 제작해주는 ‘서비스형 랜섬웨어’가 등장했다. 랜섬웨어의 전파, 감염 현황 정보도 제공한다. 피해자를 대상으로 현재 상황과 입금 방법을 상담하는 ‘라이브챗’ 기능을 탑재한 랜섬웨어까지 발견됐다. 정식 서비스처럼 보일 수 있도록 디자인해 피해자가 마치 파일 암호를 풀 수 있는 ‘피해 구제 서비스’를 받는 것처럼 착각할 수 있는 랜섬웨어도 있다.

○랜섬웨어 유포 방식 다양화

랜섬웨어가 공격자의 주요 수익원이 되면서 유포 방식과 파일 형태도 다양해지고 있다. 이메일 첨부파일, 메신저 등을 통해 주로 유포되던 랜섬웨어는 앱(응용프로그램), 운용체계(OS), 웹 취약점, 토렌트 등 다양한 방법으로 퍼지고 있다. 국내외 웹사이트와 연계된 광고 사이트의 정상적 네트워크를 악용하는 ‘멀버타이징’도 시도한다. 사용자 PC를 서버로 이용해 사용자끼리 파일을 공유하는 토렌트도 랜섬웨어 유포 채널로 악용되고 있다.

유포 파일 형태도 다양해졌다. 초기 랜섬웨어는 주로 문서파일(doc, pdf)로 위장하거나 화면보호기 파일(scr)로 유포됐다. 올 1분기에는 기존 방식에 더해 매크로와 자바 스크립트 활용까지 이뤄졌다. 록키 랜섬웨어는 송장(인보이스)과 지급 등을 위장한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도하고 외부에서 랜섬웨어를 내려받도록 했다. 첨부파일에 프로그래밍 언어인 자바 스크립트를 포함시키는 변종도 발견됐다.

○“수상한 이메일 첨부파일 열지 말 것”

안랩은 신·변종이 지속적으로 나타나는 랜섬웨어 피해를 줄이기 위해 △수상한 이메일 첨부파일, URL 실행 금지 △중요 데이터는 외부 저장장치로 백업 △백신 최신 업데이트 유지 △OS·소프트웨어 프로그램 등 최신 보안패치 적용 △신뢰할 수 없는 웹사이트 방문 자제 등 기본 보안수칙 생활화를 권고했다. 지난해 처음 한국어로 된 랜섬웨어 ‘크립토락커’가 등장한 뒤 국내에서도 랜섬웨어 유포가 급격히 증가하면서 관련 상담 건수가 늘었다. 한국인터넷진흥원(KISA)에 따르면 작년 10월부터 지난달까지 6개월 동안 118사이버민원센터에 걸려온 랜섬웨어 관련 상담 건수는 월평균 142건에 달했다.

박태환 안랩 ASEC 대응팀장은 “2013년부터 미국 중국 일본 독일 영국 등 해외에서 피해 사례가 나타나기 시작한 랜섬웨어는 점점 버전 업그레이드나 다른 영역과 제휴하는 등 실적을 거두기 위한 일종의 ‘서비스 체계’를 갖춰가고 있다”며 “랜섬웨어는 앞으로 더 교묘해지고 고도화할 가능성이 커 사용자들이 주의를 기울여야 한다”고 조언했다.

■ 랜섬웨어

컴퓨터 사용자의 문서를 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬(ransom)’이란 명칭이 붙었다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 사진 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤 돈을 보내면 해독용 열쇠 프로그램을 전송해준다며 금품을 요구한다.

추가영 기자 gychu@hankyung.com