나는 요즘 악명 높은 ‘랜섬웨어’라는 악성코드입니다. 성공리에 작업을 끝낸 저를 만났다면 당신 컴퓨터 속 각종 문서와 사진은 파일명 뒤에 ‘.encrypted’, ‘.ccc’, ‘.vvv’ 등의 확장자가 붙은 채로 암호가 걸려 열어볼 수 없는 상태가 됐을 겁니다. 장담합니다. 비트코인 등으로 정해진 ‘몸값’(랜섬)을 송금하지 않는다면 암호로 묶인 당신의 자료를 열어볼 방도는 거의 없습니다. 물론 랜섬웨어 제작자가 돈만 받고 해독용 프로그램을 보내주지 않을 수도 있습니다.

우리가 얼마나 유능하냐면, 최근 미국 보스턴에서 열린 사이버 보안 관련 세미나에서 연방수사국(FBI) 당국자는 이렇게 말했다가 보안업체의 호된 비판까지 받았습니다. “솔직히 말하면 우리는 때때로 그냥 몸값을 주라고 조언합니다. 돈 주는 것 말고는 데이터를 복구할 방도가 없을 때가 많습니다.”(FBI 사이버스파이 방지담당 조셉 보나보론타)

1999년 4월26일 ‘CIH 바이러스 대란’과 2009년 7월7일 ‘디도스(DDoS) 사태’ 때처럼 전국에서 동시 다발적으로 벌어지는 컴퓨터 바이러스 공격과 달리 우리는 각개약진하기 때문에 치명적인 위험성에 비해 대규모 피해가 발생하지는 않습니다. 그러나 국내 피해 사례는 최근 눈덩이처럼 불어나고 있습니다. 주로 부자 나라를 겨냥하는 랜섬웨어 범죄자들이 우리나라도 주요 ‘사냥터’로 노리기 시작했기 때문입니다.

랜섬웨어침해대응센터를 운영하는 데이터 보안업체 이노티움에 따르면 지난 7월 63건, 8월 104건, 9월 45건이던 국내 피해 신고는 10월 656건, 11월 927건으로 치솟았습니다. 신종 랜섬웨어의 한국 공세가 촉발된 상황입니다.

피해 사례는 광범위합니다. 일주일째 가동이 중지된 공장, 중요 서류를 몽땅 빼앗긴 변호사, 데이터 파일을 몽땅 날릴 위기에 처한 방송국 등 개인부터 기업까지 일단 랜섬웨어에 걸리면 치명적 위기를 맞습니다. 아예 관공서나 금융사, 기업 등 데이터 유출이 치명적인 곳을 노린 표적 공격까지 이뤄지고 있습니다. 실제 미국에선 몸값 지불을 택한 금융사, 경찰서 등이 다수 있다고 합니다.

제 작업방식은 이메일 첨부파일 등에 숨어 있다 감염된 PC 내 워드, 엑셀 등 문서와 사진 파일 등을 전부 암호로 묶어버리고 금품 송금을 요구하는 게 정석입니다. 요즘은 아예 특정 웹사이트에 숨어 누구든 접속하면 컴퓨터 보안 약점을 뚫고 들어가는 ‘랜섬웹’ 기술까지 구사하고 있습니다. 제가 걸어 놓은 암호를 풀기 어려운 이유는 암호 키가 외부에 감춰진 랜섬웨어 공격 전용 서버에 저장돼 피해 PC만으로는 암호를 풀 도리가 거의 없기 때문입니다. 암호 키의 해독 난이도도 미국 NSA 등에서 사용하는 암호키가 ‘512’비트인데 요즘 악명을 떨치는 랜섬웨어 암호키는 ‘1024’비트로 ‘극악’수준입니다.

우리가 처음부터 지독했던 건 아닙니다. 기록에 남겨진 최초의 랜섬웨어는 1989년 조셉 루이스 팝이란 해커가 만들어 ‘AIDS’라고 이름 붙인 악성코드입니다. 하드디스크의 루트 디렉터리 정보를 암호화한 뒤 이를 풀어주는 것을 조건으로 ‘PC Cyborg Corporation’이라는 회사에 189달러를 지불하라고 요구했습니다. 이후 다양한 랜섬웨어가 출몰했지만, 상대적으로 해독이 쉬운 대칭 키 암호방식이었고 화면을 잠그거나 사용자 불편을 초래해 금전을 요구하는 단순한 방식이어서 큰 문제가 되지 않았습니다.

강력한 암호만으로는 부족했던 랜섬웨어 비즈니스 모델이 완성된 건 2013년입니다. 자금 추적으로 랜섬웨어 범죄자들은 덜미를 잡히기 일쑤였는데, 당시 중요문서를 강력한 암호로 잠그고 디지털 화폐인 비트코인을 몸값으로 받아 경찰 추적을 피한 ‘크립토락커’라는 희대의 랜섬웨어가 등장했습니다.

급기야 2014년 8월 미 법무부와 FBI, 유로폴, 마이크로소프트 등이 합동으로 ‘토바르 작전’을 단행, 크립토락커를 조종하는 서버를 다운시키기에 이르렀습니다. 공동수사 결과 크립토락커 제작을 주도한 1983년생 러시아 해커 미하일로비치 보가체프는 약 100만대 컴퓨터에 악영향을 미쳤고, 피해금액은 세계적으로 1억달러에 달하는 것으로 파악됐습니다. 보가체프가 거둬들인 몸값은 300만달러 이상으로 추정되는데, FBI 역시 러시아 흑해 부근에 사는 것으로 알려진 보가체프 체포에 300만달러의 현상금을 걸었습니다.

크립토락커의 대성공은 이후 ‘크립토월’, ‘크립토디펜스’, ‘토렌트락커’, ‘테슬라크립트’ 등 다양한 랜섬웨어 창궐로 이어집니다.

우리나라에서는 지난 4월 커뮤니티 사이트 클리앙의 광고서버가 해킹돼 랜섬웨어를 배포하면서 피해가 대량 발생했습니다. 토바르 작전으로 소멸된 줄 알았던 크립토락커의 한글판이 ‘범인’이어서 그 배후가 주목받고 있습니다. 랜섬웨어침해대응센터에 따르면 지난 3∼11월 국내 랜섬웨어 피해의 43%는 크립토락커에서 비롯됐으며 ‘크립토월3.0’이 변종과 함께 52%를 차지했습니다.

최근 사이버 보안업체 맥아피는 랜섬웨어 비즈니스가 내년에 더 기승일 것으로 내다봤습니다. 랜섬웨어 제작수법 등이 널리 퍼지면서 심지어 초보 해커 등 더욱 많은 이들이 범죄시장에 뛰어들 전망입니다.

IT보안업체로 구성된 사이버위협연합(CTA)은 최근 ‘수익성 좋은 랜섬웨어 공격: 크립토월 3.0 위협 분석’ 보고서를 통해 북미를 중심으로 랜섬웨어 범죄자들이 3억2500만달러(약 3700억원) 이상의 수익을 거뒀으며 앞으로 더욱 극성일 것으로 우려했습니다. 랜섬웨어가 이처럼 기승을 부린 탓에 몸값 단위인 비트코인(BTC) 가격은 3월 20만원대에서 지난달 말 50만원대로 뛰었습니다.

저를 피하고 싶으신가요? 완벽한 방어법은 없습니다. 의심스러운 파일과 웹사이트는 이용하지 않고, 프로그램 업데이트와 정기백업을 잊지 않는 게 그나마 당신이 할 수 있는 최선일 것입니다.

박성준 기자 alex@segye.com