랜섬웨어 ‘몸값 뜯기’ 기능 앞다퉈 도입

PC 사용자 몰래 심은 악성 코드로 중요 파일을 암호화해 잠가버린 뒤 이를 풀어 주는 대가로 금전을 요구하는 랜섬웨어가 날로 진화하고 있다.

최근에는 피해자로부터 손쉽고 빠르게 ‘몸값’을 받아낼 수 있는 기능을 추가하며 공격 수위를 높이고 있다.

9일 하우리 등 보안업체들에 따르면 최근 이메일을 통해 유포 중인 ‘하데스’ 랜섬웨어는 피해자가 비트코인(가상화폐)으로 몸값을 쉽게 지불할 수 있도록 ‘자주 묻는 질문(FAQ)’과 ‘헬프데스크(Helpdesk)’ 메뉴를 탑재했다.

전문 거래소에서 유통되는 비트코인은 거래 기록 추적이 어려워 랜섬웨어 공격자들이 주로 이용한다. 하지만 일반인은 거래 방법을 모르는 경우가 많아 사용이 쉽지 않다.

‘하데스’ 랜섬웨어는 ‘자주 묻는 질문’ 목록을 만들어 비트코인 이용 방법을 안내하고, 한술 더 떠 ‘헬프데스크’를 통해 직접 질문을 받는다. 영어를 못하면 구글 번역기를 이용해보라고 링크까지 걸어준다.

앞서 발견된 ‘공주(Princess)’ 랜섬웨어도 한국어를 포함한 12개 언어로 안내 페이지를 띄워 비트코인을 요구한다.

안내 페이지의 디자인은 공주의 왕관을 차용해 위협적인 느낌이 덜하지만, 요구 금액은 기존 랜섬웨어보다 비싸다.

지난해부터 전 세계에 유포 중인 케르베르(Cerber) 랜섬웨어는 텍스트가 아니라 음성 파일로 ‘친절하게’ 감염 사실을 알린다. 사용자 PC에 텍스트를 음성 메시지로 변환하는 파일을 생성해 스피커를 통해 “당신의 중요 파일들이 암호화됐다”는 영어 음성을 내보낸다.

몸값을 보내도 암호를 풀어주지 않는 이른바 ‘먹튀’를 우려해 몸값을 보내기 꺼리는 피해자들을 겨냥하는 랜섬웨어도 있다.

최근 발견된 변종들은 피해자가 비트코인을 보내기 전에 복호화(암호화된 내용을 도로 푸는 일)가 가능한지 시험할 수 있는 메뉴도 제공한다.

해외에서는 콜센터를 운영하는 공격 조직까지 등장했다.

이러한 방식의 진화는 ‘수익성’을 높이려는 목적에서 비롯했다.

파일을 풀고 싶은 마음이 있더라도 비트코인 사용법을 모르거나 파일복구업체가 요구하는 대행료에 부담을 느껴 이를 포기하고 PC를 아예 포맷해버리는 피해자가 적지 않기 때문이다.

랜섬웨어를 대신 제작해주는 서비스형 랜섬웨어(RaaS)의 확산도 뻔뻔한 ‘피해자 친화적인’ 공격 방식에 한몫했다.

보안업계 관계자는 “랜섬웨어는 암호화 과정이 어렵지 않기 때문에 주문자의 요구에 맞춰 다양하게 만들 수 있다”며 “대행업체 입장에서는 공격 성공률이 높은 랜섬웨어를 만들어 고객을 끌어모으려는 의도도 있을 것”이라고 말했다.

랜섬웨어의 수법이 고도화하면서 피해액은 눈덩이처럼 불어나고 있다.

미국 법무부에 따르면 올해 미국에서만 랜섬웨어로 인한 피해액은 2억9천만 달러(3천800억 원)로 지난해보다 10배 이상 늘었다.

랜섬웨어 피해를 예방하려면 중요한 파일은 수시로 백업하고, 보안 솔루션도 최신 버전으로 업데이트해야 한다는 게 전문가들의 조언이다. 특히 출처가 불분명한 첨부 파일이나 링크는 실행하지 않는 것이 바람직하다.

연합뉴스