지금까지 랜섬웨어의 주요 타깃은 개인과 기업의 PC 사용자였다. 이 경우 금전을 지불하고 파일을
복원하거나 파일의 손실을 감수하더라도 PC를 포맷하고 재설치하면 해결되었다. 일부 의료기관에서 랜섬웨어에 감염되어 환자의 정보에 대한 접근이
원활하지 않는 사례가 발견되기도 했지만, 랜섬웨어 감염으로 인해 업무나 조직이 마비되는 일은 크게 발생하지 않았다. 그러나 이러한 양상은 조금씩
달라지기 시작했다. 최근 랜섬웨어 공격이 어떻게 변화되고 있는지 살펴보자.
지난 1월 해외에서 발생한 랜섬웨어 피해 사례를 살펴보면, 랜섬웨어의 공격 대상이 개인이나 특정 기업을 넘어서 공공·서비스·비영리기관 등으로
확대되고 있음이 확인되었다. 해외에서 발생한 피해 사례들을 중심으로 살펴보면 다음과 같다.
공공 분야 공격 사례
■ 미국 LA 지역 대학 연합(Los Angeles Community College District) 랜섬웨어 감염
지난 1월 10일 미국 LA에 위치한 LA 지역 대학 연합(Los Angeles Community College District)에 속한 밸리
대학(Valley College)이랜섬웨어에 감염되어 직원 1,800명의 데이터와 학생 20,000여명의 데이터가 암호화되었다. 미리 백업해
놓지 않아서 결국 학교는 2만 8천 달러(약 3천만 원)를 제작자에게 지불하고 데이터를 복구했다.
■ 미국 세인트루이스 공공도서관 랜섬웨어 감염
지난 1월 20일에는 세인트루이스 지역의 공공 도서관의 서버가 랜섬웨어에 감염되어, 도서관 16곳의
약 700여대의 PC를 정상적으로 사용하지 못하고 정상적인 도서 출납 업무도 진행되지 못했다.
랜섬웨어 제작자는 비트코인으로 PC 한 대당 50달러씩 총 3만 5천 달러를요구했으며, 가능한 많은
돈을 버는 것에만 관심이 있는 것으로 보였다. 서버에는 직원이나 사용자의 개인정보나 불필요한 금융
정보는 저장하고 있지 않았고, 다행히도 도서관에서는 데이터를 백업해 놓았기 때문에 빠르게 복구했고
FBI에 신고까지 했다.
■ 미국 텍사스주 콕렐힐(Cockrell Hill) 경찰서 랜섬웨어 감염
1월 26일 미국 텍사스주에 위치한 콕렐힐시에서 랜섬웨어에 감염되어 2009년부터 저장해왔던 약 8년간의 증거 데이터가 훼손된 것이 알려졌다.
이 사실은 2016년 12월 12일에 발견되었으며, 제작자는 4천 달러(약 500만 원)를 요구했다. 훼손된 증거물에는 모든 MS 오피스 문서,
일부 사진과 CCTV 영상 및 감시 카메라 녹화 영상 등이 포함되었다. 데이터들은 별도로 백업해 두지 않아 복구하지 못했다. 이 곳에 감염된
랜섬웨어는 오시리스(osiris) 확장명을 생성하는 록키(Locky) 랜섬웨어인 것으로 알려졌다.
■ 트럼프 대통령 취임식 전에 랜섬웨어 감염으로 워싱턴 D.C. CCTV 마비
1월 12일부터 15일 사이에 워싱턴 D.C.의 CCTV 시스템 녹화장치 4대가 랜섬웨어에 감염되어
전체 CCTV의 187대 중 약 70%인 123대가 작동 불능 상태에 빠졌다. 직원들은 해당 시스템을
포맷하고 재부팅하여 복구했다. 특히 이 사건은 트럼프 대통령 취임식을 며칠 앞두고 발생해서 충격을
주었다. 지난 2월 3일에 용의자 2명이 영국 런던에서 체포되었으며, 50대의 영국인 남성과 스웨덴
여성으로 밝혀졌으나 정확한 의도는 확인되지 않았다.
비영리기관 공격 사례
■ 미국 암 관련 비영리 기관 Little Red Door Cancer Agency의 랜섬웨어
감염
1월 18일에 미국 인디애나주에 위치한 암 관련 비영리 기관인 리틀레드 도어(Little Red
Door)가 랜섬웨어에 감염되었다. 제작자는 50BTC(4만 4천 달러로 약 5천만 원)를
요구했으며, 비영리 기관 직원들에게 전화와 이메일을 통해 접촉을 시도했다. 해당 기관은 복구
비용을지불하지 않았는데, 암 환자와 가족들을 위한 지원 비용이기 때문이라고 밝혔다. 사건 직후 다크
오버로드(The Dark Overlord)라는 해커가 자신의 소행이라고 밝혔지만, 자신은 데이터를
암호화하지 않았다고 밝혔다. 데이터를 유출하고 서버를 파괴한 다음 해킹을 외부에 밝히지 않는 조건으로
돈을 요구한 것으로 알려졌다.
서비스 산업 공격 사례
■ 오스트리아의 호텔이 랜섬웨어에 감염되어 스마트키 시스템 마비
1월 말에 오스트리아의 4성급 호텔인 로맨틱 씨호텔
예거비어트(Romantik Seehotel Jaegerwirt)에서 랜섬웨어에 감염되어 제작자에게
1,600 달러(약 200만 원)를 지불하고 시스템을 복원했다. 전자카드 출입시스템뿐만 아니라 예약
시스템과 프론트 데스크의 수납 시스템을 포함한 호텔의 모든 컴퓨터가 마비되었다. 호텔측은 랜섬웨어에
의해 호텔 IT 시스템이 마비됨에 따라 전자카드 출입시스템도 정상적으로 작동하지 않았고, 그로 인해
수백 명의 투숙객이 객실에 출입을 할 수 없었기 때문에 어쩔 수 없이 지불했다고 밝혔다. 호텔은 이
사건을 계기로 전자카드 출입시스템을 고전적인 열쇠 방식의 출입체계로 전환하는 것을 심각하게 고려
중이라고 밝혔다.
위에 발생한 모든 피해 사례가 특정 기관을 대상으로 한 표적 공격으로 보이지는 않는다. 일부 PC가
감염되어 네트워크로 연결된 서버나 시스템의 파일이 암호화되면서 발생한 사고일 가능성도 높다. 그러나
랜섬웨어가 네트워크로 공유되어 있는 서버나 다른 시스템의 폴더를 감염시켜서 추가적인 부작용을
발생시키는 것은 문제라고 볼 수 있다. 일반적으로 랜섬웨어는 개인 PC나 업무용 PC를 감염시키고,
네트워크로 연결된 일부 PC의 폴더에 피해가 발생한다. 그러나 특정 기관이나 서버가 랜섬웨어의 피해를
입을 경우에는 업무가 마비되거나 워싱턴 D.C.의 CCTV, 텍사스주 경찰서 사례처럼 치안의 공백까지
가
져올 수 있기 때문에 그 문제가 심각하다고 할 수 있다. 워싱턴 D.C.에서 대통령 취임식 때 테러가
발생했는데, 모든 CCTV가 발생 불능 상태였다면? 상상만 해도 아찔한 일이다.
위의 사례는 모두 해외 사례지만, 중요한 것은 해외의 문제만이 아니라는 것에 있다. 국내에서도 충분히
발생할 수 있으며, 그렇기 때문에 더욱 철저한 대비가 필요하다. 출처가 확인되지 않은 이메일의 열람과
첨부파일 실행을 자제해야 한다. 또한, 보안 업데이트를 꾸준히 설치하고, 웹브라우저, 자바, 플래시
플레이어는 최신 버전을 사용해야 한다. 무엇보다 가장 중요한 것은 주기적인 데이터 백업을 생활화하는
것이다. 사전에 철저하게 준비하고 대비하는 것이 가장 중요하다.
[출처 : 안랩(www.ahnlab.com)]
