한국랜섬웨어침해대응센터가 언론에 배포한 조사자료에 따르면 국내 피해규모도 상당히 크다. 이 기관은 자체 신고된 피해 건수와 랜섬웨어 방어 보안회사의 신고접수 건수, 관련 정부기관 신고 건수 및 복구대행업체에 의뢰한 복구 건수 정보를 기준으로 분석했다.
그 결과 2015년도에는 약 53,000명이 감염되어 1,090억원의 피해를 입었다. 그리고 총 30억원 정도가 해커에게 비트코인 금전으로 지급된 것으로 추정했다. 2016년에는 13만명이 감염되었고 3,000억원 정도 피해가 발생했다. 13만명 피해자 중 최소 10%인 13,000명이 100억원 이상의 비트코인을 지급한 것으로 추정했다. 이 금액은 작년 국내 비트코인 거래규모인 6천5백억원의 약 1.5%에 해당하는 금액이다.
또한 KISA에서도 한국 사이버보안 이슈 가운데 랜섬웨어를 매우 중대한 위협으로 꼽았다. 이러한 랜섬웨어는 올해 어떤 방식으로 움직일까?
한국랜섬웨어침해대응센터의 자료에 따르면 전망은 양분된다. 낙관적인 전망으로는 랜섬웨어 위협에 대한 사용자 인식의 확대와 안티 랜섬웨어 기술의 발전, 전반적인 정보 공유 증대와 국가간 사법 당국 간의 공조 등으로 랜섬웨어 위협이 한풀 꺾일 것이란 전망이 있다.
반면 비관적 전망 쪽으로는 해커들이 기술수준을 높인 랜섬웨어 위협이 올해도 계속되며 MS 오피스와 PDF로 만든 파일에 매크로를 숨겨 보안 소프트웨어를 피해가는 방법과 사회공학적인 기법이 적용된 지능화된 랜섬웨어가 기승을 부릴 것이란 의견이 있다.
비관적인 전망에서는 기존에 해킹 주대상이었던 개인정보 거래 시장은 이미 붕괴되었다는 점을 근거로 들었다. 주민등록번호, 휴대폰번호, 의료기록, 신용카드번호, 이메일 주소를 판매해도 금전 보상을 받기까지 긴 시간이 걸이며 판매가격도 낮아졌다. 이에 비해 랜섬웨어 해킹은 특별한 기술없이 시작할 수 있는데 유포 3일 이내에 직접 비트코인이 입금되며 지속적인 수입을 보장한다. 따라서 해커들은 랜섬웨어를 더욱 교묘하고 지능적이며 사회공학적인 기법을 접목하여 발전시킬 거란 예상이다.
이 자료에서는 예시로 “2016년에 인터파크에서 빼간 해외여행 결제정보를 이용하여 결제 당사자들에게 'Flight Schedule'이라는 첨부파일의 위장 이메일을 송부한다면 20~30%는 감염될 것으로 추정된다”고 언급했다. APT공격을 통한 정보수집과 랜섬웨어 공격이 결합되면 그 피해와 파장이 매우 커진다는 주장이다.
랜섬웨어가 어떻게 진화할 지에 대한 전망도 나왔다. 지난 2년간 랜섬웨어 위협과 인식 확산으로 데이터를 백업하는 사용자가 늘어났다. 또한 랜섬웨어를 차단하는 보안기술이 발전했기 때문에 올해 랜섬웨어 해커는 기존 랜덤방식의 지능형 공격을 강화하면서 병원 DB, 클라우드 스토리지, 중앙화 시스템을 공격하는 표적형 공격으로 진화할 것이란 예측이다.
또한 콜센터 운영을 기반으로 강력한 오프라인 파일 암호화를 하며 100불정도의 부담적은 액수의 금전요구, 차후 감염되지 않는 예방비용까지 선불로 받는 새로운 랜섬 지불 모델의 도입 같은 진화 방향도 예상했다. 이런 점을 특징으로 하는 스포라(Spora)와 같은 신종 랜섬웨어 그룹이 다수 출현할 것이라는 전망도 있다.
이렇듯 랜섬웨어는 해커에게 직접적으로 돈을 벌어주는 악성코드이기에 빠른 확산속도와 다양한 변종이 만들어질 가능성이 높다. 또한 해커는 시장의 모든 백신 엔진과 차단 엔진을 테스트 후 랜섬웨어를 침투시킬 수 있는 기술을 가지고 있지만 보안회사들은 백신 혹은 차단제품을 공개하기 때문에 랜섬웨어를 100% 차단할 수 없다는 점에 주목해야 한다. 특성상 실행파일 형태를 갖추지 않고 메모리 상에서 직접 파일을 암호화시키는 기술이 해킹에 접목되면 기존 보안기술이 무력화 될 거란 기술적 전망도 있다.
이런 사이버위협에 대한 대비책으로 전문 백업제품을 사용한 사전 백업, 랜섬웨어 차단 가능한 백신으로 업데이트, 이메일 첨부파일 열람에 주의, 윈도우 업데이트로 보안취약점 제거, 이메일 링크로 접속하지 말고 직접 접속, 회사와 기관의 데이터 보호관리 정책수립과 교육을 꼽았다.
beta@heraldcorp.com
