세계일보

랜섬웨어란 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어로 컴퓨터의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 악성 프로그램이다.

본래 랜섬웨어는 해커들이 돈을 벌기 위해 주요기관을 협박하는 용도로 사용됐지만 이제는 ‘돈’이 아닌 ‘파괴’를 목적으로 변하고 있다는 주장이 제기되고 있다.

지난달 28일(현지시간) IT전문매체 테크크런치는 보안 분석가들이 최근 전 세계에 확산되고 있는 랜섬웨어 ‘페티아(petya)’가 우크라이나를 겨냥한 사이버 공격행위라는 주장을 하고 있다고 보도했다. 영국 파이낸셜타임스도 같은달 30일 도·감청 전문 정보기관인 정부통신본부(GCHQ)의 국가사이버보안센터(NCSC) 측이 '페티아'는 돈을 노린 게 아니라 특정 국가의 혼란에 초점이 맞춰져 있다는 해석을 내렸다고 전했다.

전문가들은 랜섬웨어 페티아의 목적이 '파괴'라고 전하며 ‘일단 감염되면 사용자가 데이터를 온전히 복구할 수 없는 점'을 그 근거로 제시하고 있다.

미국 버클리 국제 컴퓨터 과학 연구소의 니콜라스 위버는 “페티아에 감염되면 다시 시스템을 복구하기가 힘들다며 이것은 랜섬웨어로 위장한 고의적, 악의적, 파괴적인 사이버 공격”이라고 설명했다. 미국 보안업체 시만텍의 개빈 오 고먼도 지난달 29일 "이번 공격의 배후에는 사악한 의도가 숨어있을 가능성이 있다"며 "절대 돈을 벌려는 목적이 아니며 공격이 우크라이나에 집중돼 기간시설을 방해하는 것이 목적으로 보인다"고 밝혔다.

현재는 랜섬웨어 '페티아' 유포자에게 돈을 줘도 ‘암호’를 받을 수 없는 상황이다.
 
‘페티아’는 암호해독을 위한 키(Key)를 받는 수단으로 비트코인(가상화폐)과 전자메일을 사용한다. 모든 피해자가 동일하게 300달러(한화 34만원)를 하나의 비트코인 지갑에 보낸 뒤 자신의 지불을 인증하고 암호 해독키를 받기위해 ‘wowsmith123456@posteo.net’으로 전자메일을 보내는 식이다.

이에 대한 대응으로 전자메일을 제공하는 독일의 posteo는 해당 계정을 차단했다. 랜섬웨어 유포자가 받은 메일을 읽거나 응답할 수 없어 피해자가 돈을 지불한다하더라도 암호키를 받을 수 없다.

전자메일이 차단되기 전에도 약 20개의 기업이 몸값을 지불한 것으로 알려져 페티아에 지불된 돈은 그리 많지 않은 것으로 파악되고 있다. 즉 돈을 벌기 위한 해킹으로 보기엔 취약한 점이 있다는 것이다. 이번 공격으로 벌어들인 돈은 약 1만 달러(한화 1150만원)로 알려졌다.

이번 공격은 지난 1996년 우크라이나가 소련으로부터 분리되는 헌법을 채택한 기념일 전날에 발생했다. 지난해 러시아 해킹단체가 우크라이나 전력망을 공격한 선례가 있어 러시아가 이번 랜섬웨어 공격의 배후라는 주장에 힘이 실리고 있다.

페티아보다 앞서 전 세계를 강타했던 랜섬웨어 ‘워너크라이(WannaCry)’의 배후로는 '북한'이 지목됐다.

미국 워싱턴포스트는 지난달 15일 미 국가안보국(NSA)이 북한을 워너크라이의 배후로 지목하며 ‘정찰총국’이 개입돼 있는 것으로 판단했다고 알렸다. 워너크라이 공격에 사용된 IP 주소가 중국에서 정찰총국이 사용해오던 것과 비슷했고, 해커들 사이에서는 워너크라이 해커들을 '라자루스(Lazarus) 그룹'으로 부르고 있다고 밝혔다.

라자루스 그룹은 지난 2013년 다크서울 작전, 2014년 김정은 암살을 다룬 풍자영화 ‘인터뷰’를 제작한 소닉픽처스, 지난해 방글라데시 중앙은행 해킹을 주도했던 세력으로 알려져 있다.

한국인터넷진흥원(KISA)에 따르면 아직까지 국내에 페티야로 인한 피해신고는 보고되지 않았지만 지난달 2일까지 워너크라이로 접수된 피해신고는 21건이 있었다. 아직 국내에 보고된 랜섬웨어로 인한 피해는 많지 않은 상황이지만 5000개 이상의 홈페이지를 가진 웹 호스팅업체 나야나가 랜섬웨어에 감염되는 등 결코 안심할 수 없는 상황이다.  

랜섬웨어는 주로 운영체제 윈도우에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식인 ‘SMB(Server Msessage Block)’의 취약점을 이용해 사용자의 컴퓨터에 침투한다. KISA는 랜섬웨어 예방을 위해 백신을 비롯한 모든 소프트웨어와 최신버전으로 업데이트하고 출처가 불명확한 이메일과 URL링크를 실행하지 말라고 권고한다. 이어 신뢰할 수 있는 파일공유 사이트에서 파일을 내려 받고 중요자료는 정기적으로 백업해야 한다고 덧붙였다.

안승진 기자 prodo@segye.com

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]