인질이 된 컴퓨터

15장

청년들의 창업을 소재로 한 '스타트업'이라는 드라마가 있다. 남주혁, 수지가 주인공으로 나오고 청년들의 뜨거운 열정을 담은 드라마다. 그 뜨거운 열정에 매료되어 매 주말마다 한 편도 빠지지 않고 정주행 했다. 그러다 드라마의 막바지 즈음에 내 관심을 끈 사건이 하나 생겼다. 바로 '랜섬웨어'사건이다. 주요 파일이 담긴 컴퓨터가 랜섬웨어에 감염되어 주인공들이 곤욕을 치르는 장면인데 나는 그 내용이 오히려 반갑게 느껴졌다. 랜섬웨어에 대한 경각심을 일으키기에 좋은 장면이었기 때문이다. 

랜섬웨어는 몸값을 뜻하는 단어인 랜섬(Ransom)과 소프트웨어(Software)의 합성어다. 다른 이들의 컴퓨터의 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 잡아 금전을 요구하는 방식이다. 유포되는 방식은 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크망 등 다양하다. 개인보다는 돈을 많이 요구할 수 있는 기업을 표적으로 삼는 경향이 있지만, 최근에는 개인들도 많은 피해를 보고 있다. 실제로 한 여성이 울면서 아이를 데리고 A경찰서 사이버수사팀을 방문한 적이 있다. 그 여성의 손에는 개인 노트북이 들려 있었다. 어떤 일로 방문했는지 묻자 "인터넷을 하던 도중 갑자기 노트북에 이상이 생겼고 그 때문에 노트북에 저장되어 있는 아이 사진까지 볼 수 없게 되었다"라고 답했다. 노트북을 확인해 보니 아이 사진 파일들이 모두 특이한 확장자로 변경되어 있었고 사진을 클릭해도 열리지가 않았다. 그 여성은 아이 성장 사진들이 모두 노트북에 저장되어 있으며 사진이 없어진다면 아이의 기록도 없어진다면서 계속 울먹였다. 이처럼 개인들도 인터넷을 하거나 또는 개인의 이메일에 첨부된 파일을 클릭하여 자신의 컴퓨터를 사용하지 못하는 경우가 많다. 만약 여러분의 컴퓨터에 중요한 파일 또는 가족사진들이 저장되어 있는데 이를 다 잃게 되었다면 어떤 기분이 들겠는가? 막막하기도 하고 절망적일 것이다. 

그럼 랜섬웨어는 어떻게 감염되는 것일까? 18년 기준으로 보면 80퍼센트의 사람들이 단순히 인터넷을 사용하다가 감염되었다고 한다. 놀랍지 않은가? 보통 이메일만 조심하면 되는 것으로 알고 있을 것이다. 하지만 이메일을 통한 감염은 17퍼센트 정도밖에 되지 않는다고 한다. 나머지 3퍼센트는 토렌트와 같은 p2p 파일공유 사이트에서 감염된다. 

인터넷 감염은 주로 보안에 취약한 광고회사의 해킹을 통해 광고 배너를 클릭함으로써 발생하기도 하고, 실시간 다시 보기, 검증되지 않은 사이트 들어가기, 유튜브 파일 다운로드 등을 통해서도 발생한다. 대표적으로 2016년도에 유명한 인터넷 커뮤니티 사이트에서 광고 배너를 통해 13만 명이 랜섬웨어에 집단 감염된 사례가 있다. 

이메일을 통한 감염은 그나마 많이 알려져 있는 편이다. 하지만 어떤 메일이 오는지는 잘 모르고 있을 것이다. 워낙 많은 이메일이 오기도 하거니와 그중 어떤 것이 위험한 것인지 판단하기가 힘든 것이 사실이다. 그중 많이 이용되는 형식은 경찰서나 검찰청의 출석요구서, 과태료 납부고지서, 이력서 등이다. 특히 최근에는 저작권에 대한 높은 관심을 이용하여 '저작권 위법 안내' 메일을 유포하고 있다. 저작권을 위반하였다는 메일 내용과 함께 해당 사진들이라며 첨부파일을 함께 보내온다. 첨부파일을 열게 되면 랜섬웨어에 감염되게 하는 방식이다. 랜섬웨어도 스미싱과 비슷하게 특정 시기에 맞춰 이메일을 보내기도 한다. 명절 기간과 지금 같은 코로나 기간에는 택배 이메일, 연말에는 연말정산과 관련된 이메일로 클릭을 유도한다. 

랜섬웨어에 감염되면 보편적으로 4가지 정도의 증상이 발생한다. 

첫 번째 증상은 평소 문제없이 열리던 문서, 사진, 음악 등의 파일이 열리지 않는 현상이 발생한다. 평소에 잘 열리던 파일들이 전부 열리지 않는다면 랜섬웨어 감염을 의심해 봐야 한다. 

두 번째 증상은 파일 확장자가 변경되는 현상이다. 문서는 doc, hwp, 사진은 jpg, bmp, 영상은 mp4, avi 등이 기본 확장자명인데 랜섬웨어에 감염되면 이런 확장자가 변경되거나 이 확장자 뒤에 jpg.xis34 등 알 수 없는 문자들이 붙는다. 

세 번째 증상은 컴퓨터가 부팅되지 않는 현상이다. 윈도 등 평소 사용하던 운영체제로 부팅이 되지 않고 운영체제를 찾을 수 없다는 문구가 뜨거나 랜섬웨어 감염 사실을 알리면서 금전을 요구하는 화면이 뜨기도 한다.

네 번째 증상은 바탕화면이 변경되면서 감염 알림 창 표시가 뜨는 것이다. 사용자의 파일이 암호화되었음을 알리고 이를 해제하고 싶으면 얼마를 어디로 어떻게 보내라는 표시가 뜬다. 

이들이 요구하는 돈을 보내주면 암호를 풀어줄까? 아니다. 이들은 한 번 돈을 보내면 계속 돈을 요구한다. 그럼 이런 랜섬웨어에 걸리지 않으려면 어떻게 해야 할까? 또 만약에 걸린다면 어떻게 해야 할까? 

앞서 말한 유명한 인터넷 커뮤니티에서 집단으로 랜섬웨어에 감염된 사건의 피해자들 중 대부분은 보안 업데이트를 하지 않았다. 보안 업데이트 무시의 결과가 13만이라는 어마어마한 피해를 만든 것이다. 따라서 사용하는 프로그램 대부분을 항상 최신 번전으로 업데이트해야 한다. 또한 백신 프로그램을 설치하고 실시간 검사 옵션을 활성화하여 공격에 미리 대비해야 한다.

출처가 불분명한 이메일이나 메신저의 첨부파일은 항상 조심해야 한다. 모르는 사람 또는 매체로부터 온 메일은 읽지 않고 삭제하는 것이 좋다. 특히 첨부된 링크나 파일은 실행하지 않아야 한다. 파일 공유 사이트 및 신뢰할 수 없는 사이트에서 다운로드를 할 때도 조심해야 한다. 부득이하게 다운로드한 파일을 실행할 때에는 실행하기 전에 백신을 통해 검사를 받고 실행하는 게 좋다. 

그리고 정말 중요한 파일 같은 것들은 USB, 외장 하드디스크 등에 백업을 해 두는 것이 좋다. 수시로 백업을 해놓는 것이 힘들면 윈도 시점 복구 기능을 사용하는 것도 한 방법이다. 네트워크 공유 폴더를 사용할 때는 누구든지 접속할 수 있도록 설정해 놓는 것보다는 암호를 입력하여 접속하도록 설정해 놓아야 한다.  

이런 예방조치에도 불구하고 랜섬웨어에 감염된다면 피해를 최소화하는 방법을 사용해야 한다. 

먼저 컴퓨터에 연결된 외부 저장장치를 연결 해제해야 한다. 랜섬웨어는 공유 폴더에 연결되어 있는 이동식 저장장치나 외장 하드 등에 저장되어 있는 파일에도 접근해서 암호화할 수 있기 때문에 백업해 둔 파일까지도 암호화될 수 있기 때문이다. 다음으로 전원을 유지해야 한다. 전원이 종료된 경우 부팅까지 불가능하게 되는 경우가 있기 때문이다. 다음으로 네트워크를 차단해야 한다. 네트워크를 통해 랜섬웨어가 확산될 가능성이 있기 때문에 감염 사실 확인 즉시 네트워크를 차단해야 하는 것이다. 마지막으로 복구 방법을 확인한다. 랜섬웨어의 유형 파악 감염 알림 창, 암호화된 파일 등 확인 후 백신 소프트웨어 제조사 홈페이지 등을 통해 제공하는 복구 툴이 있는지 확인해 보는 것이다. 

2016년 7월 세계 각국 사법기관과 민간 보안 기업 등이 참여하여 랜섬웨어 복구 프로그램을 제공하는 노 모어 랜섬 사이트가 만들어져 현재 100여 종의 복구 프로그램을 제공하고 있다. 그 외에도 malwarehunterteam사이트와 백신 제조사에서도 랜섬 복구 프로그램을 제공하고 있다. 랜섬웨어를 복구시키기 위해서는 랜섬웨어의 종류를 알아야 하는데 노 모어 랜섬 사이트에서는 감염된 파일로 랜섬웨어를 찾는 랜섬웨어 해결사를 제공하고 있다. 백신 개발 업체에서도 랜섬웨어 복구 프로그램을 제공하고 있는데 대표적인 국내 업체는 안랩이 있다. 

랜섬웨어로 인해 피해를 봤다면 경찰청 홈페이지 또는 사이버안전지킴이 홈페이지나 가까운 경찰서 민원실을 통해 상담 및 신고가 가능하다. KISA(한국인터넷진흥원) 인터넷 보호나라 홈페이지 접속 및 118에 전화하여 상담을 받을 수도 있다.  

현재 랜섬웨어는 주로 컴퓨터와 웹서버를 주로 범행대상으로 삼고 있다. 하지만 모바일 디바이스를 감염시키는 랜섬웨어도 발견되고 있기 때문에 앞으로 스마트폰 등이 범행대상이 될 가능성이 크다. 아무리 조심해도 당하는 것이 작금의 세상이다. 내 소중한 정보와 자산은 노력 없이 지키기 힘들다는 것을 알아야 할 것이다.