필자는 은행에서 30여년간 재직후 퇴직하여 지금은 중소기업경영컨설턴트로 활동중이다. 컨설팅 과정에서 접한 다양한 사례를 바탕으로, 중소기업이 계속기업으로서 발전해 나가는데 있어서 도움이 될만한 내용을 중심으로 그 여덟 번째 이야기를 전개하고자 한다.

본고에서는 IT산업은 물론이고 모든 산업에서 그리고 전세계적으로 엄청난 피해를 입히고 있는 인터넷 기반 랜섬웨어 바이러스의 현황을 알아보고 그 예방법 및 대처방안에 관하여 살펴보고자 한다.

(1)랜섬웨어의 현황

랜섬웨어란 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어로 시스템이나 데이터를 암호화하여 정상적으로 사용할 수 없도록 만든 후, 이를 담보로 금전을 요구하는 등의 악의적인 멀웨어 프로그램을 말한다.

기존 랜섬웨어는 PC에만 적용되었지만, 최근에는 서버나 IoT 장비, 비트코인 채굴, 모바일 환경 등 시스템 종류를 가리지 않고 공격이 가해지고 있고, 또한 나날이 지능화 및 고도화하는 신종/변종 악성 바이러스는 그 종류도 무수히 다양하고 백신을 우회하려고 하므로 그 예방 및 대응이 어렵다. 심히 우려스러운 점은 보안솔루션 도입 여부와 무관하게 모든 인터넷 사용자는 잠재적 바이러스 감염자라는 사실이다.

정보기술의 발달로 최근에는 개인 및 기업의 많은 정보가 디지털 정보로 저장되어 편리함을 주고 있지만, 원치않는 개인정보의 유출 등으로 악성 바이러스에 의한 수많은 보안위협에 노출되어 있다. 이러한 보안위협과 금전적 피해가 증가하는 이유는 정보를 다루는 사람들의 인식부족과 대응기술 부재에 기인한다고 본다.

최근에 랜섬웨어로 인해 개인이나 기업의 중요한 정보가 파괴되어 막대한 피해를 주고 있지만, 마땅한 대응책이 없는 관계로 중요한 데이터를 포기하거나 막대한 금전적 손실을 감수해야 하는 상황이다. 

물론 오래된 랜섬웨어 버전은 인터넷상에서 복호화가 가능하다고도 한다. 하지만 신종/변종 버전의 바이러스는 보안솔루션을 설치하더라도 대처가 어렵다고 한다.

일단 감염된 이후에는 컴퓨터시스템에 접근이 차단되거나 데이터가 사용불가능하게 되므로 데이터를 원래대로 복원하기 위해서는 해당 악성 프로그램을 개발한 이에게 거액의 암호화 화폐를 지불해야 한다.

비트코인 등 암호화화폐는 국경이 없으므로 랜섬웨어 공격자(이하 해커)를 알아내기가 불가능하다고 한다. 필자가 접한 소식에 따르면, 대부분 해커는 일부 사회주의 국가에서 발생하는 것으로 추정되며, 그 공격 대상 국가는 정보기술이 발달하고 자본력이 풍부한 선진국 등이 될 거라고 한다.

2018년 기준으로 국내 랜섬웨어 피해 규모를 보면, 접수건수는 4,283건, 피해자는 28만 5천명, 피해금액은 1조 500억원으로 추정된다. 미국의 경우에는 연간 그 피해 규모가 2조원 이상인 것으로 추정되고 있다. 

실제로 국내외 사례를 보면, 건실한 중견기업이 랜섬웨어의 공격으로 중요 데이터를 복구하기 위한 해커들의 요구금액을 감당하지 못하고 자의반 타의반으로 파산에 이르는 경우도 더러 있다고 한다.

이렇게 축적된 천문학적인 규모의 암호화 화폐는 기축통화(미국 달러)와 서로 환전되어 사용하기도 할 것인 바, 일부 사회주의 국가에서 중앙정부가 개입하지 않고서는 그 천문학적인 규모의 돈을 기축통화와 교환하기는 어려울 것으로 추정한다. 

이렇게 축적된 암호화 화폐는 자금세탁을 용이하게 하여 탈세, 불법도박, 보이스피싱, 주가조작, 재산 국외도피, 횡령배임, 마약, 테러자금 조달, 대량 살상무기 밀매 등 다양한 불법적인 용도로 사용되고 있는 것으로 추정된다.

국경을 초월하여 발생하는 자금세탁 및 테러자금 조달에 공동 대응하기 위하여 국제기준을 마련하고, 각 국가의 이행 현황을 회원국간 상호평가를 통해 평가.감독, 비협조 국가 및 국제기준 미이행 국가에 대한 금융제재 등을 하기 위하여 설립된 FATF가 2019년 6월 가상자산 거래관련 자금세탁 위험을 완화하기 위해 국제기준을 개정하고 각국의 이행현황을 면밀히 모니터링 하고 있다.

2020년 2월 프랑스 파리에서 개최한 총회에서 가상자산 거래관련 자금세탁 위험 완화방안과 FATF 국제기준 미이행국가에 대한 조치 및 평가에 대해 논의하는 등 암호화 화폐를 통한 범죄에 대해 적극적으로 대응하고 있는 것은 고무적인 현상이다.

참고로, 1989년에 G7 합의로 자금세탁방지국제기구인 FATF(Financial Action Task Force)가 설립된 이후에 회원(정회원 36개국, 준회원 9개 지역기구, 옵저버 28개 국제기구)들을 통해 전세계 대부분의 국가를 관할하고 있다. 한국은 2009년 10월에 정회원으로 가입했다.

FATF의 권고사항은 현재 회원국을 포함한 180여 개국이 채택한 자금세탁 및 테러자금 조달방지 국제기준을 정립한다. 뿐만 아니라 각 회원국이 자국의 자금세탁 및 테러자금조달 위험을 확인하고 경감시킬 방법을 제시한다.

FATF는 각국에 대한 상호평가를 통해 자금세탁·테러자금 조달방지에 관한 국제기준의 실질적인 이행여부를 확인하고 글로벌 정책공조를 촉진한다.

‘권고사항’이라 불리지만 평가 결과가 미흡한 국가는 국제금융시스템에서 직간접적 제재를 받게 된다. 이에 각 회원국의 자금세탁금지 및 금융서비스 규제 법률은 FATF의 권고사항을 골자로 하며 각국의 정책입안자, 금융당국, 법집행기관은 국제기준 이행을 위해 상호협력한다.

각국의 금융정보분석원(FIU: Financial Intelligence Unit)은 금융회사 등의 자금세탁방지시스템을 관리하며 금융범죄와 관련된 내용을 국세청, 검찰 등의 국가기관에 제공한다.

요즘은 해커들이 개인을 공격대상으로 할 경우, 거액의 돈을 요구하기가 어렵고 데이터를 포기하는 경우도 많아서, 대기업, 금융기관, 국가기관 등 거액을 받아낼 만한 조직을 공격대상으로 삼는다고도 한다.

국내에서 발견된 랜섬웨어 감염경로는 이메일, 취약 홈페이지, 웹하드 설치 프로그램, 공유폴더 접속, P2P 다운로드 파일 등으로서 인터넷 접속을 통해 바이러스가 유입된다.

(2)랜섬웨어 감염 예방

랜섬웨어에 감염되면 오래된 버전의 경우는 복구가 가능하다고는 하지만 신종/변종 바이러스는 공격자로부터 복호화키를 받아서 복구하지 않는 한, 데이터를 복구할 방법이 없다고 한다.

따라서 가장 좋은 방법은 예방이지만, 나날이 발전하고 있는 신종/변종 바이러스 공격의 위협으로부터 피해가기는 매우 어렵다. 악성 바이러스는 백신을 우회하기도 하므로 보안을 강화해도 취약한 부분을 통해 공격을 하므로 24시간 인터넷을 통제할 수 없는 현실에서 보안시스템을 완벽히 구성하는 것은 현재로서는 불가능한 일일 것이다.

그럼, PC를 통한 랜섬웨어 감염 예방책에 대해서 살펴보기로 한다.

첫째, 데이터 백업의 중요성이다.

조직의 비즈니스와 서비스를 연속성 있게 운영하기 위해 데이터 백업은 필수적이다. 여기서 잠깐 일반인의 이해를 돕기 위해 용어 설명을 간단히 하고자 한다. ‘백업’은 데이터 손상시 원본데이터를 복원할 목적으로 원본 파일의 복사본을 제2 또는 제3의 저장소에 저장하는 것을 말한다. 

‘복제’는 하드디스크 고장에 대비하기 위해 다른 디스크에 동일한 데이터를 실시간으로 복사하는 것을 말한다. ‘아카이브’는 참조 또는 장기 보관을 위해 원본 데이터 자체 혹은 사본을 저장하는 것을 말하며, 데이터 종류에 따라 3년, 5년, 혹은 영구보관 등으로 보관주기가 설정된다.

글로벌 대기업이나 금융권에서는 BCP(업무연속성계획,Business Continuity Plan) 등이나 내부 전산지침 등에 의거, 데이터나 프로그램 백업 작업을 체계적으로 실시하고 있다. 

인터넷이 연결된 상태에서 데이터 복제를 수행하게 되면 저장 매체가 감염될 수가 있으므로 실시간 복제(미러링,Mirroring)방식보다는 인터넷을 차단한 상태에서 배치(Batch)작업에 의한 백업작업을 실시하는 것이 안전할 것으로 필자는 생각한다.

개인이 사용하는 PC의 경우에도 USB 메모리 장치 등 외부저장장치에 데이터 백업을 실시하는 경우, 인터넷이 연결된 상태에서 백업을 실시할 때 해커 바이러스가 침투하게 되면 USB 메모리 장치 등 외부저장장치에 있는 데이터 파일도 감염되므로 인터넷 통신을 차단한 후 백업을 실시하도록 하고 백업이 종료되면 다시 인터넷 통신을 연결하는 습관이 필요하다. 

중요한 데이터는 외장형 하드디스크나 USB 메모리 장치 등 외부 저장장치에 이중, 삼중으로 여러군데에 저장해 놓고 PC와 분리시켜 두어야 안전하다.

랜섬웨어 공격을 받게되면 특정시점에 업무가 마비되는 경우가 발생할 수도 있고 손상된 데이터를 복구하더라도 복구 시간과 비용이 수반하기 때문에 기업들이 곤경에 처하게 된다.

실제로 국내 유명한 제약회사나 대형 금융기관 등도 랜섬웨어 바이러스에 감염되어 일반인들은 상상하지도 못할 거액의 비용을 지불하고 데이터를 복구한 사례가 있는 것으로 알고 있으나, 해당 기업의 이미지 등을 고려해서 외부에 노출을 꺼리는 관계로 언론 등에 노출되지 않을 뿐이고, 실제 피해 규모는 위에서 밝혔듯이 국내에서만 연간 4천건이 넘고, 매년 증가추세라고 한다.

참고로 지진, 해일, 폭동, 전쟁 등 예기치 않은 대형사고로 인해 전산 시설이나 중요시설이 파괴되거나 손상되는 경우에 대비하기 위해서 요즘은 많은 조직에서 BCP(업무연속성계획,Business Continuity Plan)체제를 구축하고 있다. 

예를 들면, 사고발생후 3시간 혹은 24시간 이내에 시스템을 재가동한다는 목표를 수립하고 전산센터나 본사 등의 중요시설을 200km 이상 떨어진 제2, 제3의 장소에 별도 백업시스템을 구축하여 가동하는 경우에는 여러 가지 다양한 대비가 가능할 수 있을 것이다.

둘째, 발신인이 불분명한 이메일이 날아오게 되면, 일단 의심하고 첨부된 파일의 확장자가 비정상적으로 길거나 이상하다 싶으면 인터넷 등에서 해당 확장자를 검색하여 알아보고 악성바이러스로 판단되면 즉시 해당 메일을 삭제토록 한다.

셋째, 최근 부쩍 늘고 있는 바이러스 침투방식은 제품이나 상품 등을 공급하는 업체의 이메일 계정을 탈취한 후 발주자를 가장하여 허위로 주문을 함으로써 해당 파일을 열어보게 하여 랜섬웨어 바이러스에 감염시키는 사례도 있다. 

이 경우에는 이메일을 보낸 발주회사의 이름으로 홈페이지 등을 검색하여 연락처를 알아내어 발주담당자를 수소문해서 주문이나 견적을 요청한 사실이 있는지 여부를 확인한 후에 정상적인 발주요청인 경우에 한하여 첨부화일을 열어보도록 하는 것이 안전하다.

악성코드를 PC에 로드할 목적으로 이메일을 보낸 경우라면 이메일 본문에 담당자의 이름이나 연락처 등이 가명일 경우가 대부분이므로 이메일 본문에 있는 연락처로 연락을 시도하면 대부분 불통이거나 가짜로 판명될 것이다.

넷째, 바이러스 감염은 주로 취약한 윈도우 환경에서 노출되기 쉽다. 윈도우7을 사용하는 PC에서 대부분 감염되므로 윈도우10을 사용하는 것을 권장한다. 또한 익스플로어를 사용하기보다는 크롬이나 파이어폭스 보안웹사이트를 이용하는 것이 좋다. 그렇다고 해서 윈도우나 백신의 최신화나 업데이트가 바이러스 감염으로부터 100% 안전을 보장하지는 않는다.

다섯째, 확인되지 않거나 취약한 사이트는 이용을 삼가하고 파일(무료 배포 양식 등 포함) 다운로드나 실행시 주의하여야 한다.

여섯째, 바이러스 감염은 인터넷을 통해 유입되므로, 취약한 사이트 방문이나 P2P사이트 이용, 이력서나 각종 문서 사칭 메일 열람, 광고창 등에서 주의를 기울여야 한다.

참고로 이처럼 바이러스는 다양한 경로를 통해 들어오기 때문에 어느 사이트에서 감염되었다라고 정확하게 확인할 방법이 없다.

(3)랜섬웨어 복구 및 대처방법

일단 랜섬웨어 바이러스에 감염되면 데이터화일이 열리지 않거나 시스템에 접근하는 것이 거부될 수가 있다. 이 때 데이터화일의 확장자를 확인하게 되면 확장자가 변경되어 있는 것을 발견할 수 있다. 

이 경우에 혹시라도 해당 확장자를 원래대로 인위적으로 바꿔버리면 복호화키를 받더라도 나중에 복구가 불가능하게 되므로 절대로 파일명을 인위적으로 바꾸면 안된다. 

그리고 “데이타 복구를 원하면 몇일내로 얼마를 암호화화폐로 입금시켜라. 그렇지 않으면 모든 데이터를 파괴할 것이다”라는 내용의 영문으로 랜섬웨어 바이러스에 감염된 데이터 파일이 있는 폴더마다 메모장이 생성된다.

이 경우에 주의할 점은 데이터를 복구받기 전에 해커에게 미리 돈을 입금하지 말아야 한다. 미리 돈을 입금시킨후 복구를 요청하면 먹튀가 발생할 수 있다. 피해자는 여러면에서 경험도 적고 협상력도 부족하므로 랜섬웨어 복구업체를 이용하는게 더 안전하다고 생각한다.

인터넷에서 랜섬웨어복구업체(이하 복구업체)를 검색하면 많은 업체가 나올 것이다. 이들 업체는 소재를 알아낼 수 없는 해커와 연락을 취하면서 협상을 벌이고 피해자를 대신해서 돈을 해커에게 건네주고 그 댓가로 암호해독 프로그램을 받아서 피해자의 데이터를 복구해주고 수수료 및 해커의 요구 금액을 수령하는 방식으로 일을 진행하는 브로커인 것이다.

피해자 입장에서, 복구업체와 접촉시 미리 착수금 명목으로 돈을 달라거나 해커가 요구하는 돈을 데이터 복구 전에 미리 달라고 하는 복구업체와는 거래를 안하는 것이 좋다. 

데이터 복구 완료후 결제를 허용하는 업체와 하는 것이 좋고, 가급적이면 수수료를 적게 받고 해커와 협상력이 좋아서 금액을 많이 깎고 일을 깔끔하게 해주는 업체라면 더욱 좋을 것이다.

따라서 복구업체는 해커에게는 데이터 복구전에 돈을 미리 건네주고 피해자에게는 복구후 나중에 받으므로 해커가 돈만 받고 먹튀를 하는 경우에는 거액의 손실이 발생할 수 있다. 실제로 이런 점 때문에 실력있는 복구업체도 가끔 먹튀를 당하여 금전적인 손실을 보는 경우도 있다고 한다.

복구업체를 이용한다고 해서 모든 경우에 복구가 제대로 되는 것은 아니다. 복구업체별로 바이러스 종류에 따라서 해커와 연락이 가능한 경우도 있고 연결이 안되는 경우도 있다. 

따라서 여러 복구업체를 수소문하다보면 감염된 데이터 파일의 변경된 확장자명을 알려주면 해당 랜섬웨어 바이러스로 공격한 해커와 연락이 가능하다는 업체를 만날 수도 있다.

이처럼 여러 복구업체와 접촉하여 믿을 만한 업체를 만나게 되면, 복구업체는 피해자에게 데이터 복구와 관련한 제안을 하게 될 것이다. 

가령 피해자가 어느정도 재력이 있는 기업인 경우, 해커가 10억원을 데이터 몸값으로 요구할 경우에 복구업체가 해커와 협상을 잘해서 5억원을 깎을 경우에 1억원의 수수료와 함께 총 6억원만 달라고 피해자에게 제안할 수도 있다. 그렇게 되면 해커가 요구하는 금액을 절반으로 낮출 수 있게 되는 것이다.

바로 이점 때문에 실력있는 복구업체를 만나는 것이 중요하다. 그리고 이런 실력있는 복구업체와 인연을 맺게되면, 피해를 입은 경험이 있는 대기업의 경우에 해당 복구업체와 연간계약을 맺어서 거액의 고정급을 주면서 상시 보안 모니터링 및 시스템 복구를 요청하는 경우도 실제 있다고 한다. 

암호화 화폐 시세는 수시로 변동하므로 피해자가 지불하는 원화금액은 복구완료후 입금 싯점에 따라 달라질 수 있다.

랜섬웨어 복구기간은 먹튀 등이 발생하지 않고 정상적으로 처리될 경우라면 복구업체 요청후 계약서를 작성하고 대개 1주일 정도면 복구가 가능하다고 본다.

해커의 소재지가 외국이고 우리나라와 시차가 많이 존재한다면 복구업체는 새벽 시간대에 해커와 접촉을 시도할 수도 있고, 해커 소재국에 주말이나 휴일이 끼거나 해커와 연락이 수월하지 않으면 협상이 지연될 수도 있을 것이다.

PC의 경우 복구업체가 데이터 복구를 진행하는 개략적인 순서는 다음과 같다.

(1)랜섬웨어 피해자와 복구업체간 데이터 복구조건 합의후 계약서 작성 및 전달

(2)복구업체와 해커간 접촉 시도 및 협상 종료

(3)복구업체 부담으로 해커에게 복구비용을 암호화화폐로 미리 지급

(4)해커가 복구업체에게 암호해독 프로그램(복호화키) 전달

(5)인터넷을 차단한 상태에서 데이터 백업 실시후 하드디스크 포맷 실시

(디스크 포맷을 안할 경우 실행화일이 잔존하였다가 나중에 다시 감염될 수 있음)

(6)하드디스크에 백업 데이터 리로딩(Reloading)

(7)암호해독 프로그램을 통해 복호화키 생성하여 데이터 파일 복구

(외부저장장치도 바이러스에 감염이 되었다면, 같이 복구해 달라고 요청해야 함)

(8)데이터 파일 복구 시간은 데이터화일 용량이 큰 경우 10~20시간 이상도 소요됨

랜섬웨어에 감염되면 데이터 파일이 파괴되는 게 아니고, 일단 잠금상태를 해두는 경우인데, 해커가 입금을 원하는 시간 내에 암호화 화폐를 입금시키고 암호해독 프로그램을 받아서 데이터 복구가 되면 다행이지만, 해커와의 협상에 실패하거나 피해자가 복구를 포기하여 해커가 제시한 허용시간이 경과한 경우에는 데이터를 영원히 복구 불가능하도록 파괴하는 경우가 생길 수 있다.

요약하면, 오늘날 정보기술 발달로 개인이나 조직 등에서는 과거에 비해 훨씬 효율적으로 일처리를 하게 되는 순기능도 있지만, 그 이면에는 해커 등에 의한 악성 바이러스 공격이라는 역기능이 존재한다, 정보기술의 발달과 더불어 해커들의 기술도 나날이 발전함에 따라 사용자들의 피해 또한 빠른 속도로 증가하고 있다. 

따라서 완벽하지는 않겠지만 그나마 적절한 보안솔루션을 도입하여 랜섬웨어로 의심되는 프로세스를 실시간으로 감지하여 차단하는 등 보안에 대한 지속적인 관심과 상시 데이터 백업시스템을 구축하여 데이터 손실을 미연에 방지하고, 랜섬웨어 등 악성 바이러스의 공격을 받게되면 합리적인 해결 방법을 모색하여 원만하게 대처하여 감당키 어려운 손실위험을 회피함으로써 기업의 지속가능경영을 도모해야 할 것이다.(끝)

정해원 기자  9114092@kotera.or.kr

<저작권자 © 기업정책정보신문, 무단 전재 및 재배포 금지>