지구촌 최악의 악성 파일, 방어 프로그램 역이용 등 ‘첨단의 악질적 수법’
[애플경제 김홍기 기자] 금년 상반기 들어서만 전 세계적으로 이미 작년 한해 횟수를 넘어설 정도로 해커들의 랜섬웨어 공격이 극심하다. 2~3년 전부터 등장해 사용자들을 괴롭혀온 ‘클롭’(Clop), 갠크랩(GanCrab), 워나크라이(WannaCry), 비너스로커(VenusLoker) 등 익히 잘 알려진 랜섬웨어들이 여전히 기승을 떨고 있다. 그러나 금년 들어선 ‘류크’(Ryuk)나, ‘소디노키비(Sodinokibi)’, ‘세르버’(Cerber) 등 악명높은 램섬웨어나 멀웨어들이 전체 공격의 3분의 2를 차지하고 있어 우려를 사고 있다.
그 중에서도 특히 지난 2018년 8월 느닷없이 출몰한 ‘류크’와 그 일당의 폐해가 가장 극심하다. 2019년까지만 해도 클롭이나 갠크랩 등이 대표적인 사이버 갱스터들이었으나, 이젠 류크 일당이 사이버 세계의 공적 1호가 되고 있다. 그래서 IT업계 일각에선 류크에 대항하는 다양한 롤백 시스템이나, 안티멀웨어 기술 개발에 특히 몰두하고 있는 실정이다. 이는 트로이 목마처럼 사용자의 스파이웨어 방지 시스템을 감염시키고, 그 시스템을 역이용해 사용자가 악성 프로그램을 반복해 다운로드하게 하는 최첨단 수법이어서 특히 주목을 받고 있다.
그러면 이런 악질적인 류크의 실체는 무엇일까. 류크는 본래 동명의 일본 만화나 만화 시리즈에 나오는 가공의 인물에서 따온 명칭으로 추정된다. 일본 만화의 주인공이 21세기에 전 세계 ICT시스템을 괴롭히는 가장 추악한 랜섬웨어 일당의 ‘보스’급으로 변신한 셈이다.
본래 랜섬웨어는 파일이나 시스템을 마비시키고, 이를 인질로 잡아 사용자에게 몸값을 요구하는 악성 프로그램이다. 그 중에서도 사이버 세계의 가장 악독한 흉악범으로 최근 지목되는 류크는 구체적 표적을 사전에 탐색하는 족집게식 공격을 퍼붓는게 특징이다. 해커들은 마치 암세포 늘어나듯, 사용자가 자신도 모르게 수 많은 랜섬웨어를 이식하도록 중요한 파일들을 암호화한다.
류크는 특히 엔드포인트에서 사용자의 섀도(Shadow) 복사본을 삭제하고, 네트워크 드라이브와 리소스를 식별, 암호화하는 기능을 가진 최초의 랜섬웨어 제품군 중 하나다. 즉, 사용자가 윈도우 시스템을 복원하려는 시도조차 못하게 비활성화시키는 것이다. 사용자로선 애초 외부 백업이나 따로 롤백 기술이 있어야만 피해를 복구할 수 있는데 그 또한 쉽지만은 않다.
전문가들은 그래서 다양한 류크의 침투를 방지하기 위한 방안을 내놓고는 있다. 그러나 사용자들 스스로 평소 이에 대비하는 자세가 중요하다는 지적이다. 류크는 여느 악성 프로그램 공격과 마찬가지로 그 통로가 스팸 전자 메일(malspam)이다. 악성 이메일은 흔히 사용자들이 크게 의심을 하지 않을 만한, 가짜 주소로 발송되기 때문에 무심코 파일을 열기 쉽다.
사용자가 피싱 이메일에 첨부된 악성 마이크로소프트 오피스 문서를 여는 순간 재앙은 시작된다. 문서를 열면 악의적인 매크로가 트로이 목마와 같은 뱅킹 파일 이모테트(Emotet)를 다운로드하도록 유도하는 파워셀(PowerShell) 명령을 실행한다. 은밀한 공격무기와 침략자들을 감추고 있는 트로이 목마는 일단 스파이웨어인 트릭봇(Trickbot)을 검색하고 걸러내는 사용자의 시스템을 감염시킨다. 한번 감염되기만 하면, 마치 최근 유행하는 ‘코로나19’ 델타 변이 바이러스처럼 끝없이 악성 프로그램이 반복적으로 다운로드된다. 이렇게 되면 사용자로선 속수무책으로 당할 수 밖에 없다. 일단 이 단계가 되면 해커들은 아예 사용자의 관리자 모드까지 약탈하면서, 사용자의 네트워크에 연결된 모든 정보와 자산을 제 마음대로 누비며 감염시키면서 탈취한다. 보통은 사용자의 모든 것을 바닥이 드러날 때까지 탈취한 후에야 잠깐 공격을 멈춘다. 가장 악독한 사이버 바이러스인 셈이다.
일단 숨을 고른 류크는 이제 2단계 공격으로 들어간다. “더 이상 이 사용자의 네트워크를 뒤지고 다니며 탈취할 만한게 있는지, 그럴 만한 가치가 있는지” 따위를 판단하는 것이다. 그런 가치가 충분하다고 여기면 또 다시 무자비한 약탈을 하며, 분탕질을 한다. 구로 디지털단지의 한 SW업체에서 한때 근무했다는 Y씨는 “주변에서 류크에 당했다는 지인들이 꽤 있는데, 이는 마치 옛 고려나 조선 중기 이전 우리 해안지역을 노략질한 왜구를 연상케한다”고 비유하기도 했다.
그렇게 해서 결국 류크는 거액의 몸값을 요구한다. 미화로 적게는 수 십만 달러, 많게는 백만 달러 이상으로 올라가기도 한다. 그래서 일단 류크에 노출되면 자칫 개인은 파산지경에 이를 수도 있고, 법인이나 기업은 경영상의 치명상을 입게 된다. 심지어 중소기업의 경우는 그로 인해 모든 외부 거래가 차단되어 그 후폭풍으로 문을 닫는 일도 생긴다.
이런 악질적인 류크는 처음엔 ‘헤르메스 2.1’이란 이름으도 등장했다. 사이버 지하세계에선 ‘크립토테크’란 이름을 가진 사이버 범죄조직이 그런 이름으로 랜섬웨어를 돌리면서 유명해졌다. 이들의 표적으로 삼는 대상은 일정한 특징이 있다. 일단 거액의 몸값을 지불할 능력이 있거나, 공격을 통해 자신들이 악명을 세상에 널리 떨칠 만한 계기가 될 법한 기업이나 조직을 겨냥한다. 그래서 미국의 경우 빅테크나 종합병원, 심지어는 중견 언론과 방송사들도 대상이 된 적이 있다. 이런 수법으로 이들은 거액을 벌어드리고 있는 것으로 전해졌다.
류크 못지않게 금년 들어 기승을 부리고 있는게 ‘세르버’다. 안티멀웨어 기술로 잘 알려진 업체인 한국데이커복구센터의 경우 특히 ‘세르버’에 주목하며 방어기술을 보급하고 있는 점도 눈에 뜬다. 이에 따르면 세르버는 사용자의 파일을 인코딩하는 AES암호화 알고리즘을 악용하는 악성코드다. 애초 DES보다 더욱 발전된 암호화 알고리즘이었던 AES가 역설적으로 랜섬웨어의 도구가 된 것이다. 이는 면역세포가 스스로 면역체계를 공격하는 류머티스 질환을 연상케하는 수법과도 닮았다.
이는 .JPG, .DOC, .RAW, .AVI 등의 암호화 된 파일에 확장자 ‘.cerber’를 추가하는 방식으로 침투하는 경우가 많다. 역시 대부분의 랜섬웨어처럼 사용자의 실행 파일을 등에 업은 스팸 이메일을 통해 공격하는 것이다. 앞서 한국데이터복구센터 설명에 의하면 본래 구소련권에서 발생한 후 널리 퍼지다가, 최근엔 우리나라를 포함한 동북아권에까지 유포된 것으로 전해지고 있다. 또 “바이러스에 감염된 사용자나 기업에게 몸값을 요구하는데, 이를 무시하거나 지불하지 않으면, 7일 이내에 2배로 올리거나 ‘영구 복구 불가’라는 식의 협박을 하기도 한다”는게 이 업체의 설명이다.
그러면 어떻게 이런 악질적인 류크나 세르버로부터 네트워크를 보호할 수 있을까. 전문가들은 무엇보다 정체 불명 혹은 의심이 가는 스팸 메일은 무조건 삭제하는 등 ‘상식’에 충실할 것을 조언한다. 그런 다음 안티멀웨어, 즉 랜섬웨어와 같은 첨단 악성 프로그램 공격을 차단하도록 설계된 기능이나 프로그램을 까는 것이다. 공격 방지 기술이나, 랜섬웨어가 파일을 인질로 잡지 못하도록 차단하는 ‘랜섬웨어 방지’ 기술도 포함되어야 한다. 또한 “가급적이면 롤백 기술을 제공하거나, 랜섬웨어의 방지에 특화된 악성 프로그램 방지 솔루션을 장착하는 것이 바람직하다”는게 전문가들의 충고다.