해커, 비트코인 요구하며 공격…포맷 후 보안프로그램 설치
4월 24일 오후 9시 30분. 노트북이 유난히 요란한 소리를 내며 힘겨워했다. 인터넷 창을 많이 켜둔 탓인가 싶어 창을 하나씩 닫았지만 좀체 소리가 줄어들지 않았다. 벌써 수명이 다 되었나 하는 생각에 인터넷 창을 모두 껐다. 이윽고 나타난 바탕화면에 하얀 영어파일의 향연이 펼쳐졌다. 랜섬웨어에 걸리고 말았다. 그것도 최신형 악질 케르베르6다.
랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어다. 보통 알고 있는 바이러스와 차원이 다른 보안 공격이다. 하드 안에 저장되어 있는 파일을 암호화한다. 어느 프로그램으로도 열 수 없는 의문의 확장자로 바뀐다. 암호를 풀 수 있는 키는 해커만 갖고 있다. 이것을 빌미로 해커는 전자화폐인 비트코인을 요구한다. PC를 인질로 삼고 금전을 요구하는 것이다. 랜섬웨어 공격은 해마다 과격해지고 있고 그들이 원하는 비트코인 가격도 고공행진 중이다.
랜섬웨어 종류별로 나타나는 증상은 조금씩 다르다. 돈을 요구하는 형식도 가지각색이다. 한국랜섬웨어침해대응센터에서 랜섬웨어 정보를 확인할 수 있다. 기자가 걸린 케르베르는 한글문서 파일은 물론, 엑셀, 파워포인트, 사진, 동영상 등 아끼는 파일을 닥치는 대로 단단히 암호화했다. 보너스인지 몇 없는 텍스트 파일만은 살려주었다.
지인들에게 도움을 요청하자 하나같이 “도대체 컴퓨터로 무얼 했느냐”고 되물었다. 혹시나 P2P 사이트에서 불법 콘텐츠를 다운 받았다고 의심받았다. 랜섬웨어 걸린 것도 괴로운데 2차 피해도 겪어야 했다. 랜섬웨어에 걸려본 이들은 모두 공감할 것이다. 예전 바이러스야 특정 감염 경로가 정해져있지만 랜섬웨어는 그렇지 않다. 해외 IT 매체 사이트에서 기사를 보다가 랜섬웨어에 감염됐다.
랜섬웨어는 이메일 첨부파일, 웹사이트, P2P 사이트 등을 통해 주로 퍼진다. 동영상 스트리밍 사이트나 광고 팝업이 많은 뉴스, 블로그에서 많이 걸린다. 최근에는 새로운 개념의 랜섬웨어가 기승을 부리고 있다. 매트릭스라는 랜섬웨어는 악성코드가 숨겨진 웹사이트에 단순히 방문만 해도 감염된다. 안드로이드 스마트폰도 안전지대가 아니다. PC에 연결된 외장형 하드디스크 드라이브, 네트워크 드라이브로 연결된 서버 등도 랜섬웨어 감염 시 연결돼 있다면 모두 공격 대상이다.
30명 정도에게 랜섬웨어 감염 소식을 전했더니 4명이 자신도 걸린 적이 있다고 알려왔다. 생각보다 흔했다. 뉴스에서만 나오는 이야기가 아닌 곧 내 이야기가 충분히 될 수 있다. 감염 유경험자들은 하나같이 해결책은 ‘포맷’뿐이라고 말했다.
노모어랜섬 기사가 번득 떠올랐다. 노모어랜섬은 랜섬웨어 감염 복구 툴을 무료로 제공하는 사이트다. 경찰은 유럽연합 경찰기구 유로폴이 운영하는 랜섬웨어 대응 사이트 노모어랜섬에 가입해 국내 이용자들에게 한국어 서비스를 제공하고 있다. 40여종의 랜섬웨어 복구 프로그램을 무료로 내려받아 암호화된 파일을 원상 복구할 수 있다.
하지만 결과적으로 소용없었다. 철지난 랜섬웨어 복구 툴이었다. 최신 랜섬웨어 복구 툴은 찾아볼 수 없었다. 랜섬웨어 감염자들은 당시에 자료를 대부분 포맷해버리기 때문에 이 툴이 얼마나 유용할지 의문이다.
다음 날 날이 밝자마자 한국랜섬웨어침해대응센터로 전화를 걸었다. 거기서도 대답은 같았다. 케르베르는 복구 프로그램이 없었다. 해커에게 145만원에 달하는 1비트코인을 지불해서 암호를 푸는 키를 받거나 포맷하는 방법뿐이었다. 자신의 자료 가치를 돈과 비교해야 하는 시험에 들어야 한다. 한국랜섬웨어침해대응센터 따르면 100건 중 1~2건을 제외하고는 돈을 주면 데이터 복구가 가능하다. 그 1~2건은 백만원이 넘는 돈을 지불해도 소위 ‘먹튀’를 하는 것이다.
감염자 대다수는 포맷을 택한다. 자신의 손으로 자신의 추억과 자료를 지우는 셈이다. 백업을 자주 하지 않는 이들은 10년간 사진이 날아가 버렸다고 애통해하기도 했다. 혹시나 유행이 지난 뒤 복구 툴이 나오지 않을까 싶어 인터넷 클라우드에 암호화된 자료들을 옮겨 놨다. 그리고 포맷했다. 노트북 용량이 적어 자주 백업할 수밖에 없었던 상황을 다행이라 위로했다. 사진 촬영 시 사용했던 SD카드를 복구해 지워진 사진들을 상당수 살려냈다.
포맷 후 가장 먼저 보안프로그램을 설치했다. 거의 매일 업데이트하고 있다. 주 사용 인터넷 브라우저는 익스플로러에서 크롬으로 바꿨다. 보안업체에서 크롬이 더 안전하다고 조언했다. 지금은 노트북에서 조금이라도 과부화되는 소리가 나면 바탕화면을 확인한다. 일종의 트라우마다.
3일 한국인터넷진흥원에 따르면 올해 1분기에 발견된 악성코드 가운데 랜섬웨어 유형은 전체의 44%로 가장 많았다. 특히 2015년 770건에 불과하던 랜섬웨어 피해 신고는 1분기에만 990건이 접수됐다. 신고하지 않은 경우도 많기 때문에 랜섬웨어 피해 규모는 막대한 수준이다.
애석하게도 확실한 예방법은 없다. 전문가들은 데이터 백업을 자주 해놓아야 한다고 조언한다. 백신 소프트웨어를 설치하는데 그치지 않고 항상 최신 버전을 유지하도록 업데이트를 자주 해야 한다. 만약 컴퓨터가 현저히 느려지고 소음이 심하다면 랜섬웨어를 의심하고 컴퓨터 전원을 뽑거나 강제 종료하는 것이 좋다. 그래야 암호화 진행을 막을 수 있다. 현재까지는 컴퓨터가 재부팅되면 랜섬웨어 실행파일은 종료된다.