한국경제 용어사전

랜섬웨어

[ransomeware]

사용자 컴퓨터 시스템에 침투하여 중요 파일에 대한 접근을 차단하고 금품(ransom)을 요구하는 악성 소프트웨어 프로그램.
몸값을 뜻하는 ransome과 제품을 뜻하는 ware의 합성어이다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 사진 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤 돈을 보내면 해독용 열쇠 프로그램을 전송해준다며 비트코인이나 금품을 요구한다.

○랜섬웨어 유포 방식 다양화

랜섬웨어가 공격자의 주요 수익원이 되면서 유포 방식과 파일 형태도 다양해지고 있다. 이메일 첨부파일, 메신저 등을 통해 주로 유포되던 랜섬웨어는 앱(응용프로그램), 운용체계(OS), 웹 취약점, 토렌트 등 다양한 방법으로 퍼지고 있다. 국내외 웹사이트와 연계된 광고 사이트의 정상적 네트워크를 악용하는 ‘멀버타이징’도 시도한다. 사용자 PC를 서버로 이용해 사용자끼리 파일을 공유하는 토렌트도 랜섬웨어 유포 채널로 악용되고 있다.

유포 파일 형태도 다양해졌다. 초기 랜섬웨어는 주로 문서파일(doc, pdf)로 위장하거나 화면보호기 파일(scr)로 유포됐다. 기존 방식에 더해 매크로와 자바 스크립트를 활용하기도 한다. 록키 랜섬웨어는 송장(인보이스)과 지급 등을 위장한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도하고 외부에서 랜섬웨어를 내려받도록 했다. 첨부파일에 프로그래밍 언어인 자바 스크립트를 포함시키는 변종도 발견됐다.

2017년 5월 12일에는 사상최대 규모의 랜섬웨어 공격이 발생하기도 했다. 2016년 해커들에게 탈취당한 미국국가안보국(NSA)의 해킹 툴을 활용한 "워너크라이(WannaCry)라는 랜섬웨어는 유포 하룻만에 전세계 100여개국 10여만대 이상의 컴퓨터를 감염시키며 전세계를 사이버테러의 공포로 몰아 넣었다.

관련어

• 참조어록키 랜섬웨어, 워너크라이

관련기사

• PC 파일 볼모로 돈 요구…'랜섬웨어' 기승

  한 중소기업에 근무하는 A씨는 최근 회사 재무정보를 확인하려고 PC에 담긴 문서 파일을 열었다가 낭패를 당했다. 해당 파일이 암호화 처리돼 내용을 볼 수 없었기 때문이다. 업무 관련 다른 동영상이나 문서 파일도 마찬가지였다. 뒤이어 PC에 ‘(암호를 풀고 싶으면) 96시간 안에 43만8000원을 입금하지 않으면 금액을 2배로 올리겠다’는 내용의 팝업이 뜨는 것을 보고서야 A씨는 자신의 PC가 해킹당했다는 사실을 깨달았다. PC에 저장된 중요 자료를 암호화한 뒤 이것을 미끼로 돈을 요구하는 신종 악성코드인 ‘크립토락커 랜섬웨어’가 기승을 부리면서 피해 사례가 속출하고 있다. 랜섬웨어는 PC에 저장된 문서나 동영상 등의 파일을 암호화한 뒤 암호를 풀 수 있는 보안키를 준다는 조건으로 돈을 요구하는 신종 악성코드다. 한국인터넷진흥원(KISA)은 5일 랜섬웨어의 일종인 크립토락커가 지난달 21일 정보기술(IT) 커뮤니티 사이트인 ‘클리앙’에서 유포된 이후 정보보호센터(국번없이 118)로 접수된 파일 복구 방법 등 피해 문의 건수가 56건에 달했다고 밝혔다. KISA 관계자는 “2~3년 전부터 주로 해외에서 랜섬웨어 악성코드가 활동했으나 지난달 한국어 버전이 등장하면서 국내에서도 랜섬웨어 피해가 잇따르고 있다”며 “한번 감염돼 암호화된 파일은 사실상 복구가 불가능하다”고 말했다. 최근에는 기존 보안 백신으로 잡아낼 수 없는 변종 랜섬웨어까지 등장했다. 과도한 트래픽을 일으켜 사이트를 마비시키는 디도스(DDoS·분산서비스 거부) 공격 기능을 갖춘 신종 랜섬웨어가 대표적이다. 안랩 관계자는 “변종 랜섬웨어는 악성코드지만 특정 사이트에 파일 형태가 아닌 특정 명령어(코드)를 심는 방식으로 유포되기 때문에 기존 보안 백신으로는 탐지하기 어렵다”고 설명했다. 공유폴더 사용으로 랜섬웨어 등 신종 악성코드 피해가 커졌다는 지적도 나온다. 보안업계 관계자는 “비슷한 양상을 띠는 크립토락커 랜섬웨어 감염 경로와 피해 사례가 다수 접수됐다”며 “해당 악성코드에 감염된 PC와 동일한 네트워크망을 쓰는 공유폴더에 있는 파일까지 암호화 피해를 입는 사례도 많다”고 했다. 랜섬웨어 등 신종 악성코드 등장으로 유포지 적발 건수도 급증세다. KISA가 적발한 국내 악성코드 유포 사이트 수는 지난해 10월 121개에서 꾸준히 증가해 올 3월에는 462개를 기록했다. 시만텍코리아에 따르면 전 세계적으로 지난해 새로 등장한 악성코드는 전년 대비 26% 증가한 3억1700만개에 달했다. 매일 약 100만개의 신종 악성코드가 출몰하고 있는 것이다. 유승열 안랩 분석팀장은 “스팸성 이메일 실행을 자제하고 중요 파일을 외장하드 등에 별도로 백업하는 등 보안수칙을 지키는 것이 필수”라며 “특히 온라인 서비스를 제공하는 커뮤니티 사이트들이 자신의 웹사이트가 유포지가 되지 않도록 각별히 보안에 주의해야 한다”고 당부했다. ■ 랜섬웨어 컴퓨터 사용자의 문서를 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬(ransom)’이란 수식어가 붙었다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 사진 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤 돈을 보내면 해독용 열쇠 프로그램을 전송해준다며 금품을 요구한다. 추가영 기자 gychu@hankyung.com

  2015-05-06
• 더욱 악랄해지는 '랜섬웨어'…제작 대행 서비스까지 등장

  PC의 중요 파일을 볼모로 잡고 금품을 요구하는 랜섬웨어가 일종의 ‘지하경제 서비스산업’의 하나로 진화하고 있다. 안랩이 최근 발표한 ‘1분기 랜섬웨어 트렌드’에 따르면 특정 공격자가 악성코드를 유포하는 형태를 넘어 랜섬웨어 제작·배포를 대행하는 ‘서비스형 랜섬웨어(RaaS: ransomware as a service)’까지 나타나 각별한 주의가 요구된다. ○제작·배포 대행 서비스까지 등장 피해자 데이터를 암호화하고 가상화폐 비트코인 등을 요구하는 랜섬웨어를 제작·배포하려는 사람을 대신해 제작해주는 ‘서비스형 랜섬웨어’가 등장했다. 랜섬웨어의 전파, 감염 현황 정보도 제공한다. 피해자를 대상으로 현재 상황과 입금 방법을 상담하는 ‘라이브챗’ 기능을 탑재한 랜섬웨어까지 발견됐다. 정식 서비스처럼 보일 수 있도록 디자인해 피해자가 마치 파일 암호를 풀 수 있는 ‘피해 구제 서비스’를 받는 것처럼 착각할 수 있는 랜섬웨어도 있다. ○랜섬웨어 유포 방식 다양화 랜섬웨어가 공격자의 주요 수익원이 되면서 유포 방식과 파일 형태도 다양해지고 있다. 이메일 첨부파일, 메신저 등을 통해 주로 유포되던 랜섬웨어는 앱(응용프로그램), 운용체계(OS), 웹 취약점, 토렌트 등 다양한 방법으로 퍼지고 있다. 국내외 웹사이트와 연계된 광고 사이트의 정상적 네트워크를 악용하는 ‘멀버타이징’도 시도한다. 사용자 PC를 서버로 이용해 사용자끼리 파일을 공유하는 토렌트도 랜섬웨어 유포 채널로 악용되고 있다. 유포 파일 형태도 다양해졌다. 초기 랜섬웨어는 주로 문서파일(doc, pdf)로 위장하거나 화면보호기 파일(scr)로 유포됐다. 올 1분기에는 기존 방식에 더해 매크로와 자바 스크립트 활용까지 이뤄졌다. 록키 랜섬웨어는 송장(인보이스)과 지급 등을 위장한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도하고 외부에서 랜섬웨어를 내려받도록 했다. 첨부파일에 프로그래밍 언어인 자바 스크립트를 포함시키는 변종도 발견됐다. ○“수상한 이메일 첨부파일 열지 말 것” 안랩은 신·변종이 지속적으로 나타나는 랜섬웨어 피해를 줄이기 위해 △수상한 이메일 첨부파일, URL 실행 금지 △중요 데이터는 외부 저장장치로 백업 △백신 최신 업데이트 유지 △OS·소프트웨어 프로그램 등 최신 보안패치 적용 △신뢰할 수 없는 웹사이트 방문 자제 등 기본 보안수칙 생활화를 권고했다. 지난해 처음 한국어로 된 랜섬웨어 ‘크립토락커’가 등장한 뒤 국내에서도 랜섬웨어 유포가 급격히 증가하면서 관련 상담 건수가 늘었다. 한국인터넷진흥원(KISA)에 따르면 작년 10월부터 지난달까지 6개월 동안 118사이버민원센터에 걸려온 랜섬웨어 관련 상담 건수는 월평균 142건에 달했다. 박태환 안랩 ASEC 대응팀장은 “2013년부터 미국 중국 일본 독일 영국 등 해외에서 피해 사례가 나타나기 시작한 랜섬웨어는 점점 버전 업그레이드나 다른 영역과 제휴하는 등 실적을 거두기 위한 일종의 ‘서비스 체계’를 갖춰가고 있다”며 “랜섬웨어는 앞으로 더 교묘해지고 고도화할 가능성이 커 사용자들이 주의를 기울여야 한다”고 조언했다. ■ 랜섬웨어 컴퓨터 사용자의 문서를 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬(ransom)’이란 명칭이 붙었다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 사진 파일 등을 제멋대로 암호화해 열지 못하도록 한 뒤 돈을 보내면 해독용 열쇠 프로그램을 전송해준다며 금품을 요구한다. 추가영 기자 gychu@hankyung.com

  2016-04-12