[투데이] 랜섬웨어 대란, 안심단계 아냐... 변종 280여종

[투데이] 랜섬웨어 대란, 안심단계 아냐... 변종 280여종

2017.05.16. 오전 11:39
댓글
글자크기설정
인쇄하기
[투데이] 랜섬웨어 대란, 안심단계 아냐... 변종 280여종
AD
YTN라디오(FM 94.5) [수도권 투데이]

□ 방송일시 : 2017년 5월 16일 화요일
□ 출연자 : 김승주 고려대 정보보호대학원 교수

- 이번 랜섬웨어, 인터넷에 연결만 돼 있으면 자동으로 감염
- 랜선 뽑는다고 안심 못해... 무선인터넷 연결도 해제해야
- 예방 방법은 OS 최신 버전 업데이트
- 일단 걸리면 복구 방법은 암호 푸는 것 뿐
- 돈 준다고 풀어주는 경우 드물어... 일단 신고해야
- 클라우드 감염시키는 랜섬웨어도 존재, 외장하드 등에 백업해야

◇ 장원석 아나운서(이하 장원석): 사이버 공격, 이제 물리적 테러 등과 더불어서 전 세계적으로 대비해야 할 위협 요소가 됐습니다. 특정 인터넷 서버를 공격해서 마비시키는 디도스, 기밀이나 개인정보를 빼내는 해킹, 그리고 전 세계적으로 폭넓게 발생하고 있는 랜섬웨어까지 방식도 다양한데요. 특히 지금 발생하고 있는 랜섬웨어는 컴퓨터 안의 데이터를 무용지물로 만드는 수법이기 때문에 개인은 물론 공공기관에서 발생하지 않을까 우려가 큽니다. 자영업자들까지 피해를 보고 있어서 우려가 되네요. 걱정입니다. 김승주 고려대 정보보호대학원 교수와 이야기해보겠습니다. 교수님, 안녕하세요.

◆ 김승주 고려대 정보보호대학원 교수(이하 김승주): 네, 안녕하십니까.

◇ 장원석: 일단 랜섬웨어에 대해서 한 번 짚고 넘어가죠. 어떤 개념인가요?

◆ 김승주: 일단 랜섬이라고 하는 건 인질을 뜻하고요, 웨어라고 하는 것은 소프트웨어 할 때의 웨어입니다. 그래서 랜섬웨어라는 건 일단 감염이 되면 PC라든가 노트북, 스마트폰에 있는 데이터를 암호화시킵니다. 그러고 나서 이제 해커들이 보통 돈을 요구하게 되고요. 얼마를 나한테 보내주면 암호화된 것을 풀어주겠다는 이야기를 보통 합니다. 데이터를 인질로 삼아서 돈을 요구한다고 해서 랜섬웨어라고 얘기합니다.

◇ 장원석: 이번에 랜섬웨어, 그 악성코드 이름이 워너크라이라고 해서 이름도 참 험악하게 지었던데요. 지금까지 이게 있었어요. 랜섬웨어가 새롭게 나온 개념은 아닌데 왜 이렇게 갑자기 대규모로 발생할까요?

◆ 김승주: 일단 랜섬웨어라는 것은 지금 말씀하셨듯이 몇 년 전부터 존재해왔고요. 사실은 이 랜섬웨어의 발생량도 꾸준히 증가하고 있습니다. 그 이유는 해커들이 랜섬웨어라는 것이 돈이 된단 사실을 알고 있습니다. 거기에다 이제 비트코인이라고 해서 인터넷 가상 화폐란 게 있지 않습니까? 이 비트코인이란 게 등장하면서 돈 요구를 비트코인으로 하고 있습니다. 그러다 보니까 이 비트코인의 특징인, 추적이 안 되는 특징이 있거든요. 그러니까 범인을 잡기가 어려워진 거죠. 거기에다 이번의 워너크라이라고 하는 랜섬웨어가 왜 유독 말썽이냐 하면, 기존의 랜섬웨어는 이메일에 첨부된 문서를 클릭해야 감염되는 형태였습니다. 이번의 랜섬웨어는 이메일에 첨부된 문서를 클릭하지 않는다 하더라도, 취약한 운영체제를 갖고 있는 PC가 인터넷에 연결만 돼 있으면 자동으로 감염되게 됩니다. 그러다 보니까 전염력이 굉장히 강하게 되는 거죠. 그래서 이번에 특히 피해사례가 많은 것 같습니다.

◇ 장원석: 그렇습니다. 방금 교수님 말씀하신 것처럼 기존에는 이메일에 첨부파일 의심스러우면 눌러보지 말라고 이렇게 교육했었거든요. 그런데 이번에는 그냥 인터넷 연결만 돼 있어도 위험하다고 하셨는데, 특히 취약한 운영 체제. 지금 예방법으로, 인터넷을 차단하고 최신 업데이트를 해라, 그런데 이게 용량도 용량이고 귀찮아서 안하는 분들이 많거든요. 이렇게 항상 굴러가야 할까요? 발생하기 전에 미리 막는 방법은 없을까요?

◆ 김승주: 사실은 이번에 어떤, 워너크라이라고 하는 랜섬웨어가 일반인들한테 긍정적 영향을 미친 것도 있습니다.

◇ 장원석: 어떤 겁니까?

◆ 김승주: 뭐냐면 어떤 TV, 라디오, 신문에서 항상 이렇게 크게 해킹 사고가 터질 때가 있지 않습니까? 그런 해킹사고가 터질 때마다 많은 분들이 예방법이 뭡니까, 이런 걸 물어보세요. 그런데 스마트폰이건 PC건 간에 최신버전으로 소프트웨어들이 업데이트만 제대로 돼 있어도 상당수의 해킹은 막을 수 있습니다. 그런데 사용자들이 보통 그걸 뒤로 미루고 안하거든요. 그래서 사실 이번 기회에 업데이트 공지가 되면 바로바로 업데이트하는 그런 습관을 들일 필요가 있습니다.

◇ 장원석: 최신 업데이트, 운영체제 업데이트가 중요하다고 말씀해주셨는데요. 그래서 최신 인터넷 업데이트를 하기 전에, 운영체제 업데이트를 하기 전에 일단 인터넷을 끊으라고 얘기하잖아요.

◆ 김승주: 이번 것과 같은 경우에 그렇죠.

◇ 장원석: 그런데 랩톱이라든지 데스크톱 모두 물리적인 랜선이 붙어 있는 경우가 있어요. 그걸 빼면 되는 건데, 요즘 무선인터넷 와이파이로 연결하는 경우는 어떻게 할까요?

◆ 김승주: 이번에 워너크라이라고 하는 랜섬웨어는 아까도 말씀드렸듯이 이메일에 첨부된 문서가 아니라 인터넷과 연결만 돼 있어도 감염이 됩니다. 그래서 윈도우즈를 업데이트하기 전에 인터넷 선을 끊고, 파일 공유 기능을 끈 후에, 그리고 인터넷 선을 다시 연결해서 업데이트하시라고 정부에선 공지하고 있거든요. 그런데 여기서 말하는 인터넷이라는 건 무선공유기, 그 다음에 실제적으로 선으로 연결돼 있는 인터넷 선, 그리고 우리가 스마트폰으로 하는 테더링 서비스, 이 모든 것을 다 포괄하는 개념입니다. 이 모든 인터넷과 연결된 것을 다 끊은 상태에서 파일 공유 기능을 꺼버리고, 그러고 나서 윈도우 업데이트를 하셔야 합니다.

◇ 장원석: 그런데 지난 주말에 랜섬웨어가 유럽에서 확산될 때, 영국의 한 20대 청년이 킬 스위치, 그러니까 랜섬웨어 확산을 막을 수 있는 방법을 우연히 발견했다고 해서 다행이라고 했는데, 이건 어떤 방법이었나요?

◆ 김승주: 악성코드를, 워너크라이라는 악성코드를 분석해보니까 특정한 인터넷 도메인을 가동시키면 이것의 확산 속도가 좀 멈추더라, 하는 걸 발견해냈습니다. 그래서 조치를 취해서 실제로 어떤 막 확산되는 것들이 주춤해진 건 사실입니다. 그런데 문제는 변종이 생겼거든요.

◇ 장원석: 그렇죠. 어제 새벽부터 다시 또 발생하고 있던데요.

◆ 김승주: 그래서 이제 현재 보고되고 있는 변종 개수만 한 280여종 됩니다. 이런 변종들은 그런 치료법이 해당사항이 없게 되고요. 그래서 당분간은 좀 조심을 하셔야 할 것 같습니다.

◇ 장원석: 그러면 지금, 자영업자 분들이라든지 공공기관에서 할 수 있는 가장 쉬운 방법은 최신 운영체제 업데이트랑 인터넷 차단 등이 있군요.

◆ 김승주: 그렇죠. 그리고 지금 가지고 계신 데이터를 미리미리 백업해두시는 거예요.

◇ 장원석: 백업 관련 이야기, 제가 잠시 뒤에 한 번 더 여쭤볼게요. 그런데 지금 가장 문제가 되는 것이 운영체제가 마이크로소프트사의 윈도우즈 아니겠습니까? 이게 가장 취약한가요?

◆ 김승주: 사실은 다른, 애플이라든지 구글이라든가 다른 운영체제는 상관이 없고요. 마이크로소프트사의 윈도우즈의 어떤 취약점을 이용한 겁니다. 그 취약점 중에서도 파일 공유와 관련된 취약점을 이용한 겁니다. 그래서 제가 아까 윈도우즈 운영체제의 파일 공유 기능을 끄십시오, 라고 말씀드렸던 거고요. 그런데 이게 윈도우즈 운영체제가 더 취약해서 그런 게 아니고요. 사실 이 워너크라이가 만들어진 배경이 좀 있습니다. 뭐냐면 몇 달 전에 미국의 정보기관인 NSA라고 하는 국가안보국이 있습니다. 이 NSA라는 미국의 정보기관이 해킹을 당했거든요. 정체불명의 해커집단으로부터 해킹을 당해서, NSA가 내부적으로 비밀리에 개발하던 여러 가지 첨단 해킹 툴들이 유출됐습니다. 이게 이제 미국의 정보기관이 만든 거니까 굉장히 강력한 해킹 툴이었거든요. 이 공개된, 유출된 해킹 툴의 일부를 이용해서 워너크라이라고 하는 랜섬웨어를 만든 겁니다. 그런데 이 유출된 해킹 툴은 마이크로소프트의 윈도우즈의 취약점을 공격하는 툴이었거든요. 그런데 이것 말고도 애플이라든가 구글의 운영체제를 공격하는 해킹 툴들도 있습니다. 만약에 애플이나 구글의 운영체제의 취약점을 이용하는 해킹 툴을 이용했다면, 윈도우즈가 아니고 다른 업체들의 운영체제가 더 문제가 됐을 수도 있겠죠.

◇ 장원석: 이게 참 걱정인데요. 감염이 된 컴퓨터의 암호화된 자료를 계속 사용하고 싶으면, 아까 말씀하신 가상화폐 비트코인을 내라, 그러면 암호를 풀어주겠단 건데, 비트코인이란 것은 잘 모르시는 분들을 위해서 설명을 하자면 어떻게 간단하게 설명할 수 있을까요?

◆ 김승주: 제가 좀 특정업체의 이름을 거론해서 그렇지만, 우리가 예전에 유명했던 것 중에 싸이월드라는 게 있지 않습니까? 그 싸이월드에서는 도토리라고 하는 걸 돈 대신 썼습니다. 이 도토리 같은 것, 즉 인터넷 상에서 우리가 돈 대신 쓰는 것을 가상화폐라고 합니다. 현재 가장 유명한 가상화폐가 비트코인이라고 하는 거고요. 이 비트코인이라고 하는 것은 내가 현금을 주고 비트코인을 살 수도 있고요. 비트코인을 주고 다시 현금으로 바꿀 수도 있습니다. 그런데 이게 인터넷에서만 통용되는 가상화폐기 때문에 일반 신용카드나 현금 쓰는 것보다는 훨씬 추적하기가 어렵습니다.

◇ 장원석: 그래서 범죄자들이 이 비트코인으로 활용하고 있는 거군요. 그러면 일단 이 랜섬웨어가 처음으로 발생된 서버라든지 그런 게 알려진 게 있나요?

◆ 김승주: 지금 전문가들이 과연 이번에 문제가 됐던 워너크라이라고 하는 랜섬웨어의 배후가 누구인가 계속 분석하고 있습니다. 그런데 한 어제부터 연구결과들이 일부 조금씩 나오고 있는데요. 지금 외국의 유명 보안업체 전문가들, 또는 국내 몇몇 보안 전문가들은 이거 배후에 북한이 있을지도 모르겠단 이야기를 하고 있습니다. 그 근거로 과거 북한이 썼던 악성코드들과 조금 유사한 점을 보인다는 얘기를 하고 있습니다.

◇ 장원석: 그런 분석도 있군요. 그럼 일단 어제 국내 피해발생 현황을 보니까 대형 멀티플렉스 영화관, 자영업자 일부 신용카드 단말기 관리하는 컴퓨터가 걸려가지고, 랜섬웨어가 걸려가지고 고생을 많이 하시던데요. 돈을 이 랜섬웨어 범죄자들에게 주면 데이터를 살릴 수 있습니까?

◆ 김승주: 실제로 보도된 바에 의하면 우리나라에서 감염된 분 중 몇 분은 돈을 실제로 지불하셨다는 언론보도가 있긴 합니다. 랜섬웨어에 감염됐을 때 돈을 지불하면 풀어주는 경우도 아주 드물지만 있긴 있습니다. 그런데 실제로 안 그런 경우도 많거든요. 돈은 가급적 지불하지 않으시는 게 좋고요. 만약 감염이 되셨으면 한국인터넷진흥원이나 아니면 전문 보안업체에 문의하시는 게 가장 좋을 것 같습니다.

◇ 장원석: 네, 일단은 돈을 지불하는 것은 그다지 지금 상황에서 합리적인 방법은 아닌 것 같단 생각이 들기도 하고요. 일단 아차 하는 사이에 감염이 됐습니다. 컴퓨터를 복구할 수 있는 방법은 없을까요?

◆ 김승주: 컴퓨터를 복구하는 것은 암호를 푸는 방법밖에 없는데요. 사실은 여러 가지 랜섬웨어 종류가 있기 때문에 그중 일부는 풀 수 있는 툴이 공개된 것도 있고요. 또 어떤 것은 너무 암호화한 게 강력해서 못 푸는 것도 있습니다. 지금 상태로는 풀 수 있을 확률과 풀지 못할 확률이 반반 정도 된다고 보시면 되겠습니다.

◇ 장원석: 그러면 아예 자료를 포기해버리고 포맷하면요?

◆ 김승주: 그건 뭐, 제일 확실하죠. 일단은 감염된 악성코드들까지 다 지워져 버리니까요.

◇ 장원석: 아예 초기화 상태로 컴퓨터를 돌려버리면 감염 상태에서는 벗어날 수 있다.

◆ 김승주: 네, 맞습니다.

◇ 장원석: 그리고 요즘 스마트폰하고 태블릿PC도 랜섬웨어에 노출될 수 있는지, 그것도 궁금하네요.

◆ 김승주: 이번의 워너크라이라고 하는 랜섬웨어는 핸드폰이나 태블릿PC는 해당사항이 없습니다.

◇ 장원석: 윈도우즈하고 운영체제가 달라서 그런가요?

◆ 김승주: 그렇죠. 그런데 이것이 이제 데스크톱 PC, 윈도우즈 운영체제를 쓰는 것들은 영향권 안에 들어있다고 보시면 되고요. 하지만 다른 랜섬웨어, 기존에 개발된 다른 랜섬웨어들은 핸드폰을 감염시키는 랜섬웨어도 있고요. 또 많은 분들이 자료 백업을 하세요, 하면 클라우드에 백업하시는 경우가 많은데요.

◇ 장원석: 그렇죠. 백업 얘기 좀 해주시죠.

◆ 김승주: 클라우드에 있는 자료도 암호화시키는 그런 랜섬웨어도 존재합니다.

◇ 장원석: 클라우드, 그러니까 인터넷 상의 가상 하드디스크라고 설명하면 쉽게 이해하실 것 같은데요. 그런 데에 백업한 것조차도 랜섬웨어가 걸릴 수 있다.

◆ 김승주: 그래서 제일 좋은 건 별도의 외장하드에 저장하시는 게 가장 좋습니다.

◇ 장원석: 아하, 그렇군요. 아예 인터넷 연결과 무관한 곳에다가 데이터를 저장해두면 안전하다, 지금으로서는 그런 방법이 가장 좋겠군요.

◆ 김승주: 네, 맞습니다.

◇ 장원석: 알겠습니다. 오늘 랜섬웨어에 대해서 들어봤고요. 오늘 설명 잘 들었습니다. 고맙습니다.

◆ 김승주: 네, 감사합니다.

◇ 장원석: 지금까지 김승주 고려대 정보보호대학원 교수였습니다.


[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]