㈜소프트이천

악성코드, 코인 마이너, 정보 탈취형 악성코드 등 보안 관련 용어는 흔히 접하지만, 각각이 어떤 방식으로 침투해 어떤 피해를 남기는지는 쉽게 와닿지 않는다. 특히 랜섬웨어와 같은 공격은 개인뿐만 아니라 기업과 기관 전반을 위협하며 그 심각성이 갈수록 커지고 있다. 최근 국내에서는 신종 랜섬웨어 ‘건라(Gunra)’가 한 금융기업을 노려 시스템 복원 기능을 무력화하며 금융권을 공포에 빠뜨린 사례도 있었다. 이러한 악성코드 공격을 보다 쉽게 이해할 수 있도록, 대표적인 랜섬웨어 유형과 실제 사례, 그리고 예방법을 함께 살펴보자.

암호화에서 협박까지, 랜섬웨어의 진화
21세기 범죄자들의 협상 도구는 총에서 키보드로 바뀌었다. 사이버 범죄의 상징으로 자리 잡은 랜섬웨어는 개인 PC를 넘어 글로벌 기업과 국가 기반 시설까지 인질로 삼아 전 세계를 위협하고 있다. 단순한 금전 갈취를 넘어, 사회 전반의 안보를 뒤흔드는 새로운 형태의 디지털 재난으로 변모하고 있는 셈이다.

초기의 랜섬웨어는 비교적 단순한 형태였다. 공격자가 사용자의 파일을 암호화한 뒤 복호화 키를 제공하는 대가로 금전을 요구하는 방식이었다. 대표적인 사례가 바로 ‘크립토락커(CryptoLocker)’다. 이후 등장한 ‘워너크라이(WannaCry)’는 윈도우 운영체제의 보안 취약점을 악용해 전 세계 수십만 대의 PC를 감염시키며 피해 규모를 기하급수적으로 키웠다.

이후 랜섬웨어는 점차 다양한 형태로 진화했다. 예를 들어, 가장 전통적인 유형은 암호화형(Crypto Ransomware)으로, 개인 문서부터 기업 데이터베이스까지 파일을 암호화한다. 피해자는 파일을 복구하기 위해 돈을 지불할 수밖에 없는 구조다.

파일을 직접 암호화하지 않고 운영체제 화면을 잠그는 락스크린형(Locker Ransomware)도 있다. 이 유형은 주로 법 집행 기관을 사칭한 경고창을 띄워 심리적 압박을 가하고, PC 접근을 차단하는 방식으로 사용자를 위협한다.

여기에 더해, 하이브리드형(Hybrid Ransomware)은 파일을 암호화뿐만 아니라 시스템 부팅까지 차단한다. 하드디스크의 MBR(부트레코드)을 손상시켜 PC 전체를 무용지물로 만들기도 한다.

최근 랜섬웨어 공격자들이 가장 많이 사용하는 수법은 바로 ‘더블 익스토션(Double Extortion)’이다. 데이터를 암호화하는 동시에 외부로 빼돌린 뒤, 사용자가 돈을 지불하지 않으면 인터넷에 공개하겠다고 협박하는 방식이다. 이로 인해 피해 기업은 복구 불능 상태에 그치지 않고, 민감한 정보가 유출되는 2차 피해까지 감당해야 한다.

또한, 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS)와 같은 ‘범죄 산업화’ 방식도 빠르게 확산되고 있다. 이는 사이버 범죄 조직이 랜섬웨어 툴을 임대하거나 판매하는 형태로, 전문적인 해킹 경험이 없는 사람도 손쉽게 공격을 시도할 수 있도록 한다. 범죄 조직은 공격자가 얻은 몸값에서 일정 비율을 수수료로 가져가며, 일종의 수익 분배 구조를 형성한다.

이처럼 랜섬웨어의 공격 방식은 점점 정교해지고 있으며, 그 파급력 또한 국가와 업종을 불문하고 확산되고 있다.

전 세계를 마비시킨 랜섬웨어 사례
2017년 발생한 워너크라이 랜섬웨어는 그 파괴력을 여실히 보여줬다. 전 세계 150여 개국에서 20만 대 이상의 PC가 감염됐으며, 그 결과 수십억 달러 규모의 피해가 발생했다. 특히 취약한 시스템을 대량으로 운영하던 영국 국립보건서비스(NHS)는 수술을 취소하고 구급차 운행이 지연되는 등 심각한 혼란을 겪어야 했다.

비슷한 시기에 발생한 ‘낫페트야(NotPetya)’ 랜섬웨어는 우크라이나를 넘어 유럽 전역과 전 세계 수천 개 기업의 공급망을 마비시켰다. 이로 인해 글로벌 해운사와 제약사, 물류 기업 등이 막대한 피해를 입었으며, 피해액은 약 100억 달러에 달했다. 미국 정부는 이 사건을 “사상 최대의 사이버 공격”으로 평가했다.

2021년에는 미국의 최대 송유관 업체 ‘콜로니얼 파이프라인’이 랜섬웨어 공격으로 마비되는 사건이 발생했다. 동부 지역에 연료를 공급하는 핵심 송유관이 멈추자 주유소마다 연료 품귀 현상이 벌어지며 대혼란이 일었다. 회사 측은 결국 440만 달러를 지불해야 했다. 또한, 같은 해 기아자동차 미국 법인도 공격을 받아 고객 서비스와 내부 시스템이 중단되며 피해가 확산됐다.

이처럼 랜섬웨어는 의료, 교통, 에너지 등 사회 기반 시설과 글로벌 공급망을 마비시키며 그 영향력이 날로 커지고 있다.

기업이 꼭 지켜야 할 랜섬웨어 예방법
랜섬웨어 공격은 누구에게나, 언제든 닥칠 수 있다. 그렇기에 가장 확실한 대응책은 사전 예방이다.

정기적인 보안 업데이트와 다중 백업, 전사적인 보안 훈련을 통한 대응 체계 강화는 이제 선택이 아니라 필수다. 국가 차원에서도 국제 공조를 확대하고 사이버 범죄에 대한 법 집행을 강화하는 노력이 요구된다.

한국인터넷진흥원 역시 랜섬웨어 피해를 예방하기 위해 4가지 보안 수칙을 제시했다.

1. 중요 시스템의 외부 접속 관리 강화
기업 자산 중 외부에 개방된 시스템 현황을 점검하고, 불필요한 네트워크 연결과 서비스를 중단해야 한다. 또한, 원격 접속에 사용되는 주요 포트(22, 1433, 3389 등)는 반드시 제한하거나 차단해야 한다.

2. 시스템 계정 관리 철저
초기 설정 상태의 관리자 비밀번호는 반드시 복잡한 조합으로 변경하고, 사용하지 않는 계정은 즉시 삭제하거나 비활성화해야 한다. 또한, 정기적인 비밀번호 교체와 다중 인증 도입을 적극 검토해야 한다.

3. 공용 NAS 보안 강화
NAS 사용 시 제조사가 설정한 비밀번호를 변경하고, 최신 보안 업데이트를 유지해야 한다. 더불어, 인터넷 직접 접속은 지양하고, 사내망을 통한 제한적 사용과 IP·계정 권한 최소화가 필요하다.

4. 체계적인 백업 및 복구 훈련
랜섬웨어 감염에 대비해 핵심 데이터는 반드시 클라우드, 외부 저장소, 오프라인 매체에 분산 보관해야 한다. 또한, 정기적으로 복구 모의훈련을 실시해 백업 데이터의 무결성과 복구 절차를 점검하는 것이 중요하다.

“데이터를 지키는 것이 곧 생존을 지키는 것”이라는 말은 결코 과장이 아니다. 랜섬웨어의 진화는 곧 보안 패러다임의 전환을 요구하는 신호탄이다. 이제는 그 위협을 인정하고, 대응을 생활화하는 것만이 유일한 생존 전략이다.

출처 : AhnLab