상세 컨텐츠

본문 제목

[르포] 사이버 인질극 랜섬웨어, 당해보니

IT/과학/리뷰/벤치

by 위클리포스트 2017. 1. 8. 00:15

본문



[ 르포 · 보안 ]
사이버 인질극 랜섬웨어, 당해보니
케르베르(Cerber) 변종으로 확인은 했지만···



▲사용하던 PC의 모니터에 이 화면이 뜨거든 바로 랜선을 뽑아라. ⓒ김현동



- 사이버 인질극 ‘랜섬웨어’ 기승, 더욱 악랄해졌다
- 피해자 속 타는 마음 ‘악용’ 돈 요구해 먹튀 하는 사이버 범죄
- 거래 중재 브로커까지 등장, 중간 수수료 갈취
- 속수무책 피해자 늘지만, 토종 백신기업 늑장대응

미디어얼라이언스 / 김현동 에디터 cinetique@naver.com


[2017년 01월 07일] - “1비트코인(3일 12시 기준 거래시세 = 1,408,000원)을 내는 조건으로 데이터를 복원할 수 있거든요. 다른 곳에 물어봐도 똑같은 말을 해줄 거에요. 우리에게 요청해서 지금까지 실패한 적은 없어요. 선불금 먼저 입금하시고 랜섬웨어에서 알려준 링크 메일로 회신주시면 복원에 필요한 키 받아 드릴게요. 90% 이상은 데이터 원상 복구 가능하니 걱정마세요.”

사건이 발생한 당일. 다급한 나머지 인터넷포털 네이버 검색창에 ‘랜섬웨어 복구’를 입력했다. 검색 결과 중 무작위로 한 업체를 선별해 전화를 걸었고 해결방법을 물어보니 남자는 태연한 목소리로 ‘포기’할 것을 먼저 제안했다. 물론 해결방법도 제시했다. 블록체인 머니로 통용되는 일명 비트코인(Bitcoin)을 송금하면 해결할 수 있다고.

앞뒤 가릴 상황이 아닌지라 당시에는 랜섬웨어 치료 방법이 있다는 한마디만 귀에 들렸다. ‘지푸라기라도 잡고 싶은 심정’은 더욱 조급해졌다. 급기야 ‘해결에 필요한 거래비용은 얼마인가?’로 이야기가 이어졌고 돌아온 답변은 ‘기존 거래이력에 따르면 평균 1비트코인 정도가 필요하다.’는 것이다.

지난 3일 기준 한국 비트코인거래소의 환율은 1비트코인 기준 거래금액은 약 140만 원을 넘겼다. 이를 고려해 볼 때 150만 원에 중간 거래수수료 10만 원을 더해 해결에 필요한 비용은 총 160만 원 상당에 달한다. 개인이 부담하기에는 큰 돈이고 기업 입장에서도 적잖은 비용이 필요하다는 것을 깨닫고 난 직후 그야말로 랜섬웨어에 한 방 맞은 기분에 휩쌓였다. 그제야 전화를 끊고 한동안 멍하니 PC 앞에서 모니터만 바라봤다. 하~~~ 한숨만 나왔다. ‘지금 이 사단을 어떻게 벗어날 수 있을까?’

말로만 듣던 사이버 인질극인 랜섬웨어에 공격당해 한순간 충격에 공포를 경험한 직후 최악의 시나리오가 머릿속에 펼쳐지면서 모든 신경은 ‘해결책 마련’에 곤두섰다. 하지만 그 어디에서도 방법은 알려주지 않았고 결국 돈을 써야 한다는 답변으로 일관했다. 이 또한 돈을 써서라도 해결이 된다면 진행을 고려해볼 수도 있었겠지만, 업체의 공통된 입장은 ‘보장하지 않는다.’였다. 의뢰하면 진행해주고 변환키만 받아 줄 수 있다는 입장이다.

‘포기가 빠를까...’ 복구 업체의 말마따나 ‘내가 이럴려고 상담했나 자괴감 들고’ 괴로웠다.


▲랜섬웨어에 감연된 파일 실행 직후. 알약과 V3와는 달리 이셋(ESET) 백신은 바로 경고했다. ⓒ김현동


감염된 PC에는 직접 내려받아 설치한 알약 백신과 네이버 툴바를 통해 자동으로 설치한 안랩의 V3가 동작하고 있던 상태였다. 두 가지 백신은 PC가 구동하는 순간에는 1년 365일 단 한 번도 멈추지 않고 감시 활동을 지속 했기에 설마 ‘랜섬웨어’를 탐지하지 못했으랴!’ 는 의심은 하지 않았다.

게다가 대한민국을 대표하는 보안기업이 자신 있게 내놓은 바이러스/악성코드 치료/대응 백신이기에 더욱 믿었다. 그렇지만 감염 직후 철석같이 믿고 맹신한 나 자신을 원망했다. 애초에 믿어서는 안 되었을 제품에 막연하게 의존한 것부터가 잘못이었다. ‘공짜는 다 이유가 있어. 싼 게 비지떡이라는 말’이 머릿속에 맴돌았다.


# 오전 10시, 화면에 등장한 이상한 메시지
무심코 넘겼으나, 나중에 알고 보니 바로 섬뜩한 랜섬웨어 경고문
활동에 돌입했으니 딴 마음 먹을 필요 없이 거래하라 내용
최근 1년 사이에 한 번이라도 사용한 파일은 전부 감염대상
존재하되 의미 없는 파일로 만들어버리는 트로잔(Trojan) 바이러스



귀가 닳도록 들었지만, 막상 나의 일이 아니라는 생각에 무심하게 넘긴 랜섬웨어. 트로이목마 또는 트로잔(Trojan )바이러스라고 불리는 형태의 수많은 바이러스 중 한 가지다. 그렇지만 유독 랜섬웨어가 유명해진 것은 금전 갈취를 목적으로 거래하려 드는 일명 ‘사이버 인질극’ 때문 이라고. 데이터 복구가 필요하다면 금전을 지불해야 하는데 과거의 바이러스가 개발자 본인의 능력을 과시하기 위함이 목적이라면 랜섬웨어는 애초에 앵벌이 수단으로 치밀하게 계획된 범죄라는 것이 가장 큰 차이점이다.

추가적으로는 PC에 숨어 일반적인 파일로 둔갑해 일정 기간 잠복해있다가 허점이 발견되는 순간 활동에 돌입하는데 이 때문에 백신의 탐지가 쉽지 않으며 때가 되면 악랄하게 공격하는 지능화된 바이러스다. 게다가 공격패턴은 갈수록 정교해지고 탐지가 되더라도 곧바로 변종이 등장하는 경우가 많다.

결국, PC 사용자가 감염 사실을 안 이후에는 랜섬웨어가 한 차례 활동을 끝낸 직후라는 것. 이날 랜섬웨어에 감염되었다는 것 또한 평소 무심코 사용하던 파일이 어느 순간 읽히지 않고 이미지 파일은 하나같이 같은 형태로 변형되어 있다는 것을 알고 나서야 ‘랜섬웨어’ 감염을 직감했다. 사용하지 않는 파일은 그대로 둔 채 자주 사용하는 파일만 골라서 감염시킨 형태는 기가 차다 못해 허탈 웃음까지 나왔다.

선택해야 했다. 원하는 대로 돈을 지급하고 데이터를 복구하느냐? 혹은 이대로 포기하느냐? 고민 끝에 후자를 택했다. 데이터를 변형해 못 쓰게 만들어 놓고 복구 비용으로 돈을 갈취하는 일명 사이버 인질극의 양아치를 대상으로 십 원짜리 하나도 주고 싶지 않았다. 한번 협상이 이뤄지면 2차 3차 공격은 계속될 테고 피해자는 기하급수적으로 증가할 것이 뻔한 상황이 예상됐기에 결정은 단호해야만 했다. ‘그래, 포기하자’


# 낮 2시부터 모든 업무 STOP ‘랜섬웨어로 정상적인 업무 진행 불가’
데이터 복구 포기. 대신 조금이라도 내용이 담긴 데이터라면 모두 취합에 집중
작년 9월부터 아무런 경고도 없던 바이러스 백신 알약과 V3에 원망
서비스가 무료라고 성능도 형편없어 결국 피해만 걷잡을 수 없어
설마 내가 감염될까? 했던 랜섬웨어. 하지만 대상 안가리고 공격



어차피 살리기 힘들다면 데이터 복구를 ‘포기’하기로 마음먹고 이 지경에 이르게 된 이유나 알고 싶었다. 그제야 문득 오전에 봤던 모니터 화면이 떠올랐다. 평소와 다른 형태의 이미지가 잠깐 화면에 등장한 기억이다. 물론 대수롭지 않게 넘긴 것이 작금의 사태를 야기했다. 내 딴에는 PC에 저장된 파일이 마우스를 실수로 클릭하고 열린 거겠지 라고 생각했다.

하지만 궁지에 몰리고 생각해보니 당시의 메시지가 바로 랜섬웨어의 시작을 알리는 경고였던 셈이다. 이후 검색해보니 비슷한 사례가 수두룩했고 ‘이미지’를 접한 직후 발 빠르게 네트워크 접속을 끊은 이의 피해는 현저하게 적은 것으로 확인됐다. 즉. 화면을 목격한 직후 나 또한 같은 방식으로 대응했다면 NAS에 보관해둔 데이터의 상당수를 살릴 수도 있었을 거라는 계산이다.


먼저 랜섬웨어의 유입 시기를 추정했다. 감염된 파일을 날짜별로 정리한 결과 작년 9월로 확인됐다. 곧이어 랜섬웨어가 남긴 메시지 파일을 찾았고 그 속에는 협상을 하자며 “최악의 상황은 이미 발생했으니 복원하려면 신속하게 움직여라”는 내용이 담겨 있었다. 너무도 친절하며 약 올리는 문구만 골라 적어놨는데 이놈이 바이러스인지 양아치인지 분간이 안 갔다. 사이버 인질극의 서막은 그렇게 열렸다.

“Remember that the worst situation already happened and now it depends on your determination and speed of your actions the further life of your files.” - C_E_R_B_E_R R_A_N_S_O_M_W_A_R_E 랜섬웨어가 남긴 경고 문구 中

말로만 들었고 소문만 무성하던 그래서 안일하게 대응했던 랜섬웨어는 아직 아무런 해결책이 없다. 복구업체 또한 중간에서 해당 랜섬웨어 제작자에게 연락해 키를 받아주고 그 대신 수고비를 받는 형태라고. 그렇기에 복구한답시고 안 되는 것에 필요 이상으로 정력 쏟지 말라고 학을 뗐다.

그런데도 여전히 의문은 남았다. 유입 시기가 작년 9월이라면 활동에 들어간 올해 1월까지. 적어도 4개월가량은 PC에 담긴 파일 어딘가에 매복하며 활동하기 좋은 시간을 차분하게 분석하고 있었을지도 모를 일이다. 아무리 랜섬웨어가 은폐 엄폐에 능하다고 할지라도 백신이 동작하고 있는데 최소한의 감지 한 번 못할 수가 있나? 라는 것이다.

적어도 첫 화면을 띄우고 활동에 돌입한 4시간 전부터 활동 타이밍만 기다린 랜섬웨어가 본격적인 활동 개시를 목표로 수도 없이 간을 봤을 건데 그동안 백신은 뭐했단 말인가! 나는 알약과 V3로 요약되는 대표적인 국산 백신을 맹신했다. 두 제품 개발사와도 개인적으로 친분이 있던 터라 의심없이 사용했다.

그러나 두 백신 모두 아무런 낌새도 감지하지 못했고, 데이터 보호에 최상이라고 믿고 의지했던 시놀로지 나스조차 랜섬웨어의 공격을 받고 보관했던 데이터와 작업하던 모든 파일은 한순간 의미 없는 더미 파일로 변했다. 지인에게 카스퍼스키에 치료 백신 나왔더라~ 는 말을 전해 듣고 찾았으나 초기 랜섬웨어만 해당했다. 내게 손해를 끼친 랜섬웨어는 탐지도 안 되는 최신형이라고.


# ‘살려야 한다’ VS ‘포기하면 편하다’
복구도 해결도 불가능한 랜섬웨어. 대책은 없으니 예방하라!
랜섬웨어 체크 가능한 백신과 복원 기능 제공하는 NAS가 필수
마지막으로 모든 데이터는 별도의 외장 하드에 추가로 백업, 만일에 대비
문제가 터진 그 날, 발견 당시부터 대응할 때까지의 시나리오 공개



오기가 생겼다. 때마침 작년에 업무차 인터뷰에 임했던 이셋코리아 대표가 떠올랐다. 당시 이셋코리아가 공급하던 이셋 백신이 내세우는 주요 키워드가 ‘랜섬웨어’였고, 실제 일본 내 유료 백신 시장 점유율 1위를 기록하고 있는 이유 또한 탐지력 때문이라고 들었기 때문이다. 지체할 수 없었다. 지푸라기라도 잡는 심정으로 30일 체험판을 내려받아 설치했다. 설치 과정에 요구하는 정보가 다양했지만, 똥줄이 타들어 가는 그 상황에서는 가릴 여력 따윈 이미 안드로메다로 간 상태였다.


▲알약과 V3가 놓친 랜섬웨어, 반면 이셋(ESET) 백신은 탐지하고 경고했다. ⓒ김현동


아뿔싸……. 나의 데이터를 초토화한 그 문제의 랜섬웨어가 1개 2개도 아닌. 무려 380개나 탐지됐다. 동시에 윈도우 시스템에서도 다양한 바이러스를 찾아냈다. 심지어 파일의 이상 유무까지 찾아냈다. 중간에 외부의 요인으로 인해 변형되었는데 백신이 당장 그 이유를 알 수 없지만, 이상한 낌새가 보인다는 리포트까지 추가로 제공됐다.

대한민국을 대표하던 두 브랜드의 백신이 아무런 낌새도 발견하지 못하는 사이 일본 내 시장 점유율 1위였던 백신은 이미 해당 랜섬웨어의 정보까지 발빠르게 확보해 대응하고 있었다.

랜섬웨어에 대응하는 이셋(ESET) 백신 다운로드 링크 : https://goo.gl/mgPBok
* 이 글을 보는 분은 필시 랜섬웨어 피해자일 가능성이 크기에 링크를 남깁니다.

두 번째는 나스였다. 이미 3테라에 달하는 데이터가 아무런 의미 없는 더미 데이터가 된 상태였기에 랜섬웨어 대응 장비의 유통사인 한성SMB 솔루션 담당자께 무작정 전화를 걸어 자초지종을 털어놓고 자문을 구했다. 돌아온 답변은 한 번 털린 타깃은 다시 공격해 털릴 가능성이 높으며, 피해사례 중 최대 5번까지 반복한 이력이 있다며 끝난 것이 아니니 지금부터라도 대비책을 세우고 각별하게 조심하라는 것이다.


▲복원기능 없는 초기형 시놀로지 나스, 스냅샷 기능만 있었어도! ⓒ김현동


마침 내가 데이터 저장용으로 사용하고 있던 시놀로지 NAS는 시점 복원조차도 지원하지 않던 보급형 모델이라 랜섬웨어에는 속수무책 당할 수밖에 없다고. 실제 3개월 이내에 다시 재발할 확률이 높은 것으로 나타났다. 그래서 어차피 발생한 일이기에 다음번에 다시 겪지 않기 위해 뒤늦게 대책마련에 나섰다.

먼저 랜섬웨어를 탐지한 ESET 백신을 1차 방호막으로 구축했다. 유일하게 랜섬웨어를 탐지했고 VB100에서 랭킹 1위를 했다는 백신이다. 딱 소 잃고 외양간 고치는 식이지만 돈이 중요하지 않았다. 2차 방호막으로는 복원기능을 제공하는 NAS로 교체했다. 시놀로지에서 QNAP으로 교체해야 할 이유도 명확했다. 물론 국민 나스라 불리며 시장을 평정할 정도로 널리 쓰이던 시놀로지 나스는 정말 쓰기 편하고 설명서도 다양하지만, 랜섬웨어와는 상극으로 확인됐다. 데이터를 복원하지 못하는 NAS의 한계는 랜섬웨어 앞에서 초라하게 바닥을 보였다.

정작 피해가 발생했을 때 복원 가능한 기능이 없어 정작 데이터 백업은 반쪽에 불과했기에 사용할 여지가 없었다.

반면 QNAP은 이 점에서 앞섰다. 스냅샷 기능을 이용하면 내가 원하는 시점으로 돌아갈 수 있으며 그 복원율은 90% 이상에 달한다. 이는 1비트코인을 요구한 랜섬웨어가 복구를 보장하는 비율과 같다. 사실상 보편적인 NAS 기종에서는 유일하게 데이터 복원을 지원해 랜섬웨어 사태를 염두에 둘 때 가장 현실적인 기종이라고 확신했다.

3차는 USB나 외장 하드로 데이터를 추가 백업하는 식이다. 이렇게까지 대비했는데도 또 한 번 같은 피해가 발생한다면 ‘그냥 랜섬웨어와 랜썸을 타야 하는 운명이려니~’ 체념하기로 했다.

물론 랜섬웨어로 피해를 경험하고 깨달은 가장 확실한 사실은 랜섬웨어는 일이 벌어지기 전에 철저하게 대비해 "막아야 한다"는 것. 하지만 개인이나 SMB 규모 기업이 선제적으로 준비하는 것이 말처럼 쉽지 않다. 그리고 실제 상당수 기업은 NAS 스토리지 하나만을 갖췄다는 것을 내세워 데이터 손실의 위험으로부터 안전하다고 스스로를 위안 삼는다. 나 또한 똑같은 자세로 임했다가 결국은 이 지경에 이르게 됐다.

경험을 해본 직후 개인적으로 이와 같은 신조가 성립됐다.

“대한민국을 대표하는 백신이랍시고 알약과 V3의 성능을 믿고 의지했다면 한 번 더 생각해보라. 무늬만 백신이지 실상은 바이러스 하나 제대로 탐지 못 하는 허울 좋은 백신이다. 1년에 작게는 몇천 원에서 크게는 몇만 원을 더 아낀다고 무료에 의지한다면 언제든지 랜섬웨어와 같은 공격에 속수무책 당하는 것은 시간 낭비다. 최소한 랜섬웨어의 활동 자체를 탐지도 못 하고 문제가 터진 이후에도 검사결과에는 여전히 이상 없으므로 보고하는 허접스러운 백신이 뭔 백신인가 싶다.”

[ 저작권자 ⓒ 미디어얼라이언스 & no.1 media rePublic 위클리포스트 ]

관련글 더보기