2020-10-20 07:21
[랜섬웨어 체험기] “나는 아니겠지”… ‘컴퓨터 인질극’ 직접 당해보니
[랜섬웨어 체험기] “나는 아니겠지”… ‘컴퓨터 인질극’ 직접 당해보니
  • 박설민 기자
  • 승인 2020.07.24 15:45
  • 댓글 0
이 기사를 공유합니다

랜섬웨어 ‘소디노키비’ 감염… 모든 파일 강제로 암호화
해커들, “가상화폐 지불하면 컴퓨터 암호화 풀어 주겠다” 협박
현재까지 별다른 해결책 없어… 조심하는 것만이 상책
다들 랜섬웨어, 해킹 등을 조심해야 한다는 것은 알고 있지만, 자신이 이 같은 범죄에 당할 것이라는 걱정은 크게 하지 않는다. 하지만 실제로 랜섬웨어에 당해보면 이야기는 달라진다. 랜섬웨어의 공격은 예상보다 치명적이며, 막을 방법도 마땅치 않다. 오직 조심하는 것만이 대책이다./ 그래픽=박설민 기자

시사위크=박설민 기자  랜섬웨어나 해킹 등의 사이버 범죄에 대한 이야기는 많이 듣지만, 사실 우리에게 먼 이야기처럼 느껴진다. 매일 일어나는 사건·사고를 보면서 ‘나와는 관계없는 일이겠지’하고 막연히 넘어가는 것처럼 말이다. 

때문에 사이버 보안 전문가들이 “수상한 파일 열어보지 마세요. 컴퓨터 보안을 철저히 하세요”라고 하는 말은 한 귀로 듣고 한 귀로 흘려버리기 일쑤다. 혹은 자신이 컴퓨터를 어느 정도 다룰 수 있다고 착각해 사이버 보안 관리에 느슨해지기도 한다. 그래도 별 문제가 없었으니까 말이다.

기자의 경우도 나름 컴퓨터에 대해선 잘 모르지만 수상한 홈페이지, 파일의 이용을 피하고, 운영체제, 백신 등도 매일같이 업데이트하는 등 보안 수칙은 잘 지키고 있다고 생각했다. 하지만 권투선수 마이클 타이슨은 이렇게 말했다. “누구나 그럴싸한 계획을 갖고 있다. 얻어맞기 전까지는.”

◇ 파란 화면과 함께 인질로 잡힌 컴퓨터… 모든 파일이 암호로 잠겼다

필자는 23일 취재중이던 기획기사를 마무리 하기 위해 오전 7시 반 쯤 컴퓨터를 켜고 작업을 시작했다.  한창 작업을 진행하던 도중 컴퓨터가 조금 느려진 느낌을 받았다. 

현재 컴퓨터에 구동중인 프로그램이 많아 그런 것으로 생각하고 바탕화면을 확인하자 만든 적도, 내려 받은 적도 없는 ‘E9015b-read me.txt’라는 제목의 텍스트 파일 하나가 보였다. 뭔가 불안감을 느끼고 컴퓨터에 장착돼 있던 SD카드를 분리했다. 

그 순간 갑자기 컴퓨터 바탕화면이 파란색으로 바뀌면서 모든 파일의 확장자가 ‘E9015b’로 바뀌었다. 당황한 채 꺼져버린 파일을 다시 실행하기 위해 클릭했지만, 연결할 수 없다는 메시지만 반복됐다. 인터넷에서 파일을 내려 받을 수도 없었고, 프로그램 실행도 불가능해졌다. 

파란색으로 바뀐 바탕화면에는 “All of your files are encrypted! find read me.txt and follow instructions.”라는 경고 문구가 적혀있었다. 경고 문구를 해석하면 “네 컴퓨터 내 파일들은 전부 잠겼으니, E9015b-read me.txt 파일에 적힌 대로 따라 하라”는 명령이었다. 그제서야 이해가 됐다. 우리가 흔히 말하던 ‘랜섬웨어’에 컴퓨터가 감염된 것이었다.

랜섬웨어란 납치·유괴범들이 요구하는 사람의 몸값을 뜻하는 ‘랜섬(Ransom)’과 악성코드를 의미하는 ‘멀웨어(Malware)’의 합성어로 컴퓨터를 인질로 잡고 금전을 요구하는 범죄행위를 말한다. 해커들은 랜섬웨어 악성코드를 사용자의 컴퓨터에 무단으로 설치하고 해당 컴퓨터 내 파일을 모두 암호화시킨 후 파일을 복구하고 싶다면 금전을 지불하라고 협박한다.

랜섬웨어에 감염되고 나니 소위 말하는 ‘멘붕(멘탈붕괴)’ 상황에 이렀으나 대체 해커들이 뭐라고 하는지라도 보자는 심정으로 E9015b-read me.txt 파일을 실행했다. 그런데 생각보다 해커들이 실력이 부족했는지 자신들의 설명파일까지 암호화한 상태였다. 때문에 파일 내용을 확인할 수는 없었다. ‘어설픈(?)’ 인질범에게 컴퓨터를 잡혀 그들과 협상을 할 수도 없는 상황이었다.

컴퓨터 자체가 망가지면 어쩌나 하는 걱정, 잃어버릴 데이터, 파일에 대한 걱정 등이 겹치면서 악몽과 같은 시간이 흘렀다. 이후 구매한 노트북 서비스센터의 영업시간이 시작되자마자, 전화로 조언을 구했다. 서비스센터 전문가는 컴퓨터 전체를 포맷해야할 것으로 판단했고, 결국 컴퓨터 전체를 초기화했다.

다행히 포맷 후 컴퓨터는 다시 정상으로 돌아왔다. 랜섬웨어에 감염되기 전에 자료들도 상당부분을 백업한 상태였기에 피해를 줄일 수는 있었다. 만약 중요한 파일이 컴퓨터에 남아있었거나, 회사 메인 서버에 랜섬웨어가 감염됐다면, 돌이일 수 없는 피해를 입을 것으로 예상된다.

하지만 아직 컴퓨터 내부에 남아있던 사진, 영상, 작업 파일들은 구할 수 없었다. 작성 중이던 기사도 증발해버리면서 근무에 차질이 빚어진 것은 덤이다. 

23일 오전 감염된 필자의 컴퓨터 화면 모습(위). 아래는 이스트 시큐리티에서 공개한 소디노키비 감염 컴퓨터 화면. 두 화면 모두 파일들이 강제로 암호화된 채 “All of your files are encrypted! find read me.txt and follow instructions.”라는 경고 문구가 적혀있다./ 박설민 기자·이스트 시큐리티

◇ 랜섬웨어의 정체는 ‘소디노키비’… 가상화폐로 금전 요구

한바탕 소동이 지나간 후 백신프로그램 ‘알약’으로 잘 알려진 사이버 보안업체 ‘이스트 시큐리티’ 측에 감염된 랜섬웨어 종류를 문의했다. 문의 결과, 기자의 컴퓨터에 감염된 랜섬웨어는 ‘소디노키비(Sodinokibi)’인 것으로 확인됐다. 

소디노키비는 지난해 2019년부터 4월부터 유행하기 시작한 랜섬웨어다. 기존에 유행하던 ‘갠드크랩’이라는 랜섬웨어와 유사하게 이메일 첨부파일을 활용한 공격방식을 주로 사용하는 것으로 알려졌다. 인터넷 홈페이지에서 문서파일 등으로 위장하는 경우도 많아 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC) 측에 따르면 지난해 하반기 가장 많이 유포된 랜섬웨어도 소디노키비다. ESRC는 소디노키비를 비롯한 랜섬웨어를 국내에 유포하는 배후에는 ‘비너스락커(VenusLocker)’라는 범죄 조직이 있을 것으로 확신하고 있다. 해당 조직은 현재 서비스형 랜섬웨어(RaaS)를 활용해 추적을 회피하고 있는 것으로 알려졌다.

지난해 7월 유포된 공정거래위원회 사칭 메일도 소디노키비를 탑재한 것으로 알려졌다. 당시 해커들은 ‘전자상거래 위반행위 조사통지서’ 등의 제목의 이메일을 공정거래위원회 사무관 이름으로 발신해 사용자들에게 큰 피해를 준 것으로 알려졌다. 해당 이메일의 붙임 파일을 실행하면 필자의 컴퓨터처럼 파란색 화면으로 바뀌면서 모든 파일이 암호화된다. 

소디노키비는 read me.txt 파일을 사용자 컴퓨터에 업로드하는 것이 특징인데, 특유의 “다시 만나서 반갑다(Welcome. Again)”이라는 문구가 적혀있다. 필자의 파일과 함께 잠겨버리면서 확인이 불가능했던 파일이 바로 이것이다. 만약 랜섬웨어에 감염됐을 때 생긴 read me.txt 파일에 해당 문구가 적혀있다면 소디노키비에 감염된 것으로 볼 수 있다.

read me.txt 파일에는 ‘환영 문구’와 함께 “우리는 당신의 컴퓨터를 망가뜨릴 생각은 없다. 우리가 시키는 대로 가상화폐를 지불하면 파일에 걸려있는 암호를 풀 수 있는 키를 제공 하겠다”는 메시지가 적혀 있다. 가상화폐 입금 및 홈페이지로 유도하는 것이다. 이들은 평균 1,500달러, 한화 약 180만원에 해당하는 거금을 요구하는 것으로 알려졌다. 

소디노키비가 걸린 컴퓨터에 공통적으로 저장되는 read me.txt 파일의 내용. 파일을 복구하고 싶으면 가상화폐를 내놓으라고 협박하는 내용이 적혀 있다. 가끔씩 랜섬웨어 자체가 해당 파일도 암호화되서 열 수 없는 일이 일어나는데, 필자의 컴퓨터에서도 그 현상이 일어나 해커들과 협상(?)시도 조차 불가능했다./ 이스트 시큐리티

◇ 현재까지 별다른 대책은 없어… 정보보안 수칙 지키는 것이 최선책

그렇다면 이렇게 고약한 랜섬웨어인 소디노키비에 대응할 수 있는 방법은 없을까. 안타깝게도 전문가들은 현재 완벽한 대응책은 없다고 말한다. 한번 암호화된 파일은 컴퓨터를 포맷해 악성코드를 지운다 해도 암호화를 건 해커 이외엔 복구가 불가능한 상황이다.

인터넷상에서 찾아보면 ‘노모어랜섬(No more ransom)’ 등 랜섬웨어로 암호화된 파일을 복구시켜주는 사이트, 복호화툴 등이 존재하지만, 이는 아주 예전에 만들어진 랜섬웨어에 대한 대비책에 불과하다. 랜섬웨어의 변이 속도가 너무나도 빠르기 때문이다. 소디노키비로 인한 암호화 파일을 복구할 수 있었던 복호화툴 일지라도 현재 존재하는 소디노키비에 대해선 무용지물이다.

이스트 시큐리티 김진욱 팀장은 <시사위크>와의 통화에서 “소디노키비 종류의 랜섬웨어는 하루에도 변종이 몇 개씩 나타나고 있는 상황”이라며 “현재 복호화툴이 공개돼 있는 랜섬웨어들은  아주 예전에 나타난 종”이라고 말했다.

이어 “기본적으로 암호화를 했을 경우에 해커조차도 암호화에 대한 마스터키가 없다면 이를 해제할 방법은 없다”며 “피해자들이 입금을 한다 하더라도 복호화하지 않고 도망칠 수도 있고, 설사 복호화를 해준다 하더라도 파일이 100% 온전하긴 힘들어 손실이 발생하기 때문에 최대한 안 걸리도록 노력하는 게 최선의 방법”이라고 말했다.

백신 프로그램이나 랜섬웨어 방지 프로그램도 완벽한 해결책은 아니다. 보안 업체 전문가들이 랜섬웨어를 연구하듯, 해커들도 백신, 보안 프로그램을 연구하고 이를 뚫을 수 있는 랜섬웨어를 끊임없이 개발하고 있기 때문이다. 

김진욱 팀장은 “백신 프로그램의 경우, 랜섬웨어를 막아주는 것이 주요 기능인 제품은 아니다”며 “하지만 랜섬웨어가 너무 기승을 부리다보니 어느 정도 차단할 수 있는 기능을 탑재하곤 있으나, 해커들도 백신의 약점을 연구하고 있어 100% 해결책으로 보긴 힘들다”고 말했다.

이어 “가장 중요한 것은 개인이 사이버 정보 보안 수칙을 잘 지키는 것이 중요하다”며 “요즘 랜섬웨어는 보통 이메일 첨부 파일 등으로 오기 때문에 알 수 없는 출처의 이메일, 파일 등을 열어보지 않는 것이 정말 중요하다”고 덧붙였다.

아울러 전문가들은 랜섬웨어에 이미 컴퓨터가 감염됐을 시에는 관련 분야 전문가가 아닌 일반인들이 할 수 있는 최선의 대책은 컴퓨터 자체를 포맷하는 것이라고 조언한다. 컴퓨터 내 저장 장치에 설치된 랜섬웨어 역시 포맷되는 순간 함께 사라지기 때문이다. 물론 포맷 후 컴퓨터를 재사용하는데도 지장은 없다.

포맷할 경우엔 컴퓨터 내에 저장된 데이터들도 함께 사라지기 때문에 랜섬웨어에 걸리기 전 중요한 파일들은 그때그때 백업해두는 것이 가장 중요하다고 강조한다. 필자 역시 데이터의 대부분을 SD카드에 백업해둔 상태였기 때문에 아주 큰 피해는 넘길 수 있었다.

다만 김진욱 팀장은 “컴퓨터의 롬(ROM: 고정 기억장치)에 랜섬웨어가 남아있는 경우도 간혹 존재한다”며 “ 경우에는 일반인 수준에서 해결이 불가능하기 때문에 데이터복구업체 등 전문가의 도움을 받아야 한다”고 전했다.