랜섬웨어는 몸값을 의미하는 랜섬(ransom)과 제품이라는 뜻의 웨어(ware)가 합쳐진 말이다. 사용자의 문서를 인질 삼아 몸값을 요구하는 컴퓨터 인질범인 셈이다. 이들은 한 컴퓨터 당 우리나라 돈 으로 약 30만~40만 원을 요구하고, 입금을 확인하 면 암호화된 문서를 풀 수 있는 암호 키를 보내준다. 암호화를 풀기 전까지는 문서의 글자가 모두 깨져 알 아볼 수 없다. e-메일을 통해 퍼지던 3월만 해도 피해 자는 10명 안팎이었지만, 클리앙, 디씨인사이드 등 유 명 커뮤니티에서 퍼지며 피해자가 급증했다. 플래시 를 이용한 광고가 문제였다. 플래시는 상대적으로 보 안 정책이 허술하고, 짧은 영상 등 사용범위가 넓다. 주요 커뮤니티가 평소 악성코드나 해커의 공격과는 거리가 먼 사이트라는 점도 한몫 했다. 이노티움 대 표이자 랜섬웨어침해대응센터장인 이형택 대표는 "랜섬웨어는 마치 평범한 옷을 입은 적군과 같아서 쉽게 보초를 통과할 수 있다"고 말했다.
해커가 보내주는 비밀키 없이는 암호 풀 수 없어
이전에도 유사한 바이러스는 있었다. 2000년대 초 기승을 부렸던 매크로 바이러스는 사용자의 문서 (MS 워드, 엑셀)를 엉망으로 만들거나 삭제했다. 하 지만 랜섬웨어는 다르다. 암호를 풀 수 있는 키만 있으 면 문서를 정상적으로 복구할 수 있다. 그 키는 해커 에게 있다. 해커가 이를 무기로 돈을 요구한다는 점에 서 두 바이러스는 목적이 아예 다르다.
해커의 인질범이 된 사용자 문서는 어떻게 암호화 된 것일까. 대표적인 랜섬웨어인 '크립토락커'는 'RSA 알고리듬'을 이용해 사용자의 문서(시스템 파일을 제 외한 문서 및 이미지 파일 모두!)를 암호화한다. RSA 알고리듬은 원래 은행을 포함한 금융권에서 고객 정 보를 보호하는 데 이용하는 알고리듬이다. 보안이 철 저한 메신저로 알려진 '텔레그램' 역시 이 알고리듬으 로 대화 내용을 암호화한다. 비밀 메시지를 전달하는 상황을 예로 들어보자. 기자가 남자친구에게 '가나다 라마바사'라는 메시지를 보낸다. 하지만 다른 사람이 메시지 내용을 모르게 하기 위해 'ABCDEFG'로 바꿔 서 보냈다. 이 과정이 암호화다. 메시지를 받은 남자 친구는 'ABCDEFG'를 다시 '가나다라마바사'로 바꿔 메시지 내용을 읽는다. 이렇게 암호를 푸는 과정이 복 호화다. 기자와 남자친구는 '가→A, 나→B…'라는 규 칙을 알기 때문에 암호화와 복호화를 할 수 있다.
이때 암호화에서 쓰이는 규칙을 '공개키(public key)', 복호화에서 쓰이는 규칙을 '비밀키(private key)'라고 한다. 기자의 예처럼 공개키와 비밀키가 같으면 '대칭 키 알고리듬(이하 대칭키)'이라고 하고, 다르면 '비대 칭키 알고리듬(이하 비대칭키)'이라고 한다. 대칭키는 규칙이 하나기 때문에, 이 키가 다른 사람에게 노출 되면 암호화된 메시지는 바로 풀린다. 하지만 비대칭 키는 공개키가 노출되더라도, 비밀키가 없으면 암호 를 풀 수 없어 더 안전하게 메시지를 보호할 수 있다. 랜섬웨어가 이용하는 RSA 알고리듬은 비대칭키다 (오른쪽 그림참고). 랜섬웨어에 의해 암호화된 문서 를 살리려면 반드시 해커가 보내주는 비밀키가 있어야 한다.
예컨데 기존의 컴퓨터는 하나의 운영체제(OS)가 컴퓨터를 독점한다. 하지만 가상화 기술은 컴퓨터 안에 여러 가상머신을 만들어 각각 다른 OS를 사용할 수 있게 한다. 애플 맥OS에 익숙치 않은 사용자들이 윈도우를 설치해, 하나의 컴퓨터에서 여러 운영체제를 사용하는 것도 같은 원리다. 브로미움은 이 기술로 컴퓨터 안에 또 다른 컴퓨터를 만들어 파일을 백업해 놓는다. 하지만 완벽해 보이는 이 기술도 문제가 있다. 한 컴퓨터에서 여러 OS를 돌리게 되면 과부하가 생겨 모든 작업이 느려지기 때문이다. 가상화 소프트웨어를 돌리고, OS를 설치하는 게 복잡한 것도 단점이다.
해커가 보내주는 비밀키 없이는 암호 풀 수 없어
이전에도 유사한 바이러스는 있었다. 2000년대 초 기승을 부렸던 매크로 바이러스는 사용자의 문서 (MS 워드, 엑셀)를 엉망으로 만들거나 삭제했다. 하 지만 랜섬웨어는 다르다. 암호를 풀 수 있는 키만 있으 면 문서를 정상적으로 복구할 수 있다. 그 키는 해커 에게 있다. 해커가 이를 무기로 돈을 요구한다는 점에 서 두 바이러스는 목적이 아예 다르다.
해커의 인질범이 된 사용자 문서는 어떻게 암호화 된 것일까. 대표적인 랜섬웨어인 '크립토락커'는 'RSA 알고리듬'을 이용해 사용자의 문서(시스템 파일을 제 외한 문서 및 이미지 파일 모두!)를 암호화한다. RSA 알고리듬은 원래 은행을 포함한 금융권에서 고객 정 보를 보호하는 데 이용하는 알고리듬이다. 보안이 철 저한 메신저로 알려진 '텔레그램' 역시 이 알고리듬으 로 대화 내용을 암호화한다. 비밀 메시지를 전달하는 상황을 예로 들어보자. 기자가 남자친구에게 '가나다 라마바사'라는 메시지를 보낸다. 하지만 다른 사람이 메시지 내용을 모르게 하기 위해 'ABCDEFG'로 바꿔 서 보냈다. 이 과정이 암호화다. 메시지를 받은 남자 친구는 'ABCDEFG'를 다시 '가나다라마바사'로 바꿔 메시지 내용을 읽는다. 이렇게 암호를 푸는 과정이 복 호화다. 기자와 남자친구는 '가→A, 나→B…'라는 규 칙을 알기 때문에 암호화와 복호화를 할 수 있다.
이때 암호화에서 쓰이는 규칙을 '공개키(public key)', 복호화에서 쓰이는 규칙을 '비밀키(private key)'라고 한다. 기자의 예처럼 공개키와 비밀키가 같으면 '대칭 키 알고리듬(이하 대칭키)'이라고 하고, 다르면 '비대 칭키 알고리듬(이하 비대칭키)'이라고 한다. 대칭키는 규칙이 하나기 때문에, 이 키가 다른 사람에게 노출 되면 암호화된 메시지는 바로 풀린다. 하지만 비대칭 키는 공개키가 노출되더라도, 비밀키가 없으면 암호 를 풀 수 없어 더 안전하게 메시지를 보호할 수 있다. 랜섬웨어가 이용하는 RSA 알고리듬은 비대칭키다 (오른쪽 그림참고). 랜섬웨어에 의해 암호화된 문서 를 살리려면 반드시 해커가 보내주는 비밀키가 있어야 한다.
랜섬웨어엔 '백업'이 약
해결책은 결국 해커에게 돈을 보내는 방법뿐인 걸까. 이에 대해 전문가들은 “아니다”라고 말한다. 해커들에게 한국시장이 돈벌이가 괜찮다는 인식이 생기면 피해사례가 더 많아질 수 있기 때문이다. 미국이나 영국 정부가 인질 테러범들과 인질석방 협상을 거부하는 것과 같은 이유다. 심지어 돈을 입금한다고 비밀키를 보내준다는 보장도 없다. 이 대표는 “실제로 돈을 보낸 사람 중 비밀키를 받는 사람은 절반 정도밖에 되지 않는다”고 말했다.
해결책은 결국 해커에게 돈을 보내는 방법뿐인 걸까. 이에 대해 전문가들은 “아니다”라고 말한다. 해커들에게 한국시장이 돈벌이가 괜찮다는 인식이 생기면 피해사례가 더 많아질 수 있기 때문이다. 미국이나 영국 정부가 인질 테러범들과 인질석방 협상을 거부하는 것과 같은 이유다. 심지어 돈을 입금한다고 비밀키를 보내준다는 보장도 없다. 이 대표는 “실제로 돈을 보낸 사람 중 비밀키를 받는 사람은 절반 정도밖에 되지 않는다”고 말했다.
랜섬웨어 피해가 늘어나면서 국내외에선 이를 막기 위한 안티랜섬웨어 기술을 개발하고 있다. 미국 보안회사 브로미움(Bromium)은 가상화 기술을 사용한다. 가상화 기술은 쉽게 말해 물리적으로는 하나인 컴퓨터 안에 여러 논리적 컴퓨터를 만드는 기술이다.안티랜섬웨어 기술의 핵심은 결국 ‘백업’이다
예컨데 기존의 컴퓨터는 하나의 운영체제(OS)가 컴퓨터를 독점한다. 하지만 가상화 기술은 컴퓨터 안에 여러 가상머신을 만들어 각각 다른 OS를 사용할 수 있게 한다. 애플 맥OS에 익숙치 않은 사용자들이 윈도우를 설치해, 하나의 컴퓨터에서 여러 운영체제를 사용하는 것도 같은 원리다. 브로미움은 이 기술로 컴퓨터 안에 또 다른 컴퓨터를 만들어 파일을 백업해 놓는다. 하지만 완벽해 보이는 이 기술도 문제가 있다. 한 컴퓨터에서 여러 OS를 돌리게 되면 과부하가 생겨 모든 작업이 느려지기 때문이다. 가상화 소프트웨어를 돌리고, OS를 설치하는 게 복잡한 것도 단점이다.
이노티움이 개발한 안티랜섬웨어 기술인 ‘아리트(ARIT)’는 원리가 조금 다르다. 디스크에 일부 영역을 ‘가상보안영역’으로 만드는 방식이다. 이 영역 안의 파일을 수정하려면 접근권한이 있는 ID와 비밀번호가 필요하다. 그러니 랜섬웨어가 침입해도 가상보안영역엔 들어올 수 없다. 파일들의 대피소인 셈이다. 아리트는 주기적으로 사용자 컴퓨터에 저장된 문서들을 대피소에 백업시킨다. 이 대표는 “랜섬웨어를 막기 위한 여러 기술이 있지만, 결론은 안전한 백업”이라며 평소 백업 습관의 중요성을 강조했다. 또 랜섬웨어가 주로 플래시를 이용해 퍼지기 때문에, 플래시 광고나 영상은 보기 전에 한번 더 주의를 기울여야 한다. 출처를 알 수 없는 e-메일을 열지 않는 건 기본 수칙이다.
기본적인 수칙들만 잘 지켜도 여러분의 파일은 무사하다. 매번 이런 수칙을 떠올리고 실행하는 게 귀찮은 일이긴 하지만, 어쩌겠는가. 랜섬웨어엔 예방법 말고는 아직 답이 없다.
PLUS
해커들이 요구하는 비트코인은 무엇인가요
비트코인은 인터넷 상에서 쓰이는 가상화폐입니다.
옛날 옛적 싸이월드에서 사용하던 도토리처럼 물건을 살 때 현금처럼 이용할 수 있죠. 비트코인은 은행이나 다른 대행업체를 거치지 않고 개인 대 개인으로 인터넷을 통해 거래할 수 있어 수수료가 적습니다.
계좌 사용에 자격요건 제한이 없다는 장점도 있어요. 하지만 이 점은 장점이자 치명적인 단점이 될 수 있습니다. 비트코인 계좌를 만들 때는 주민번호나 실명과 같은 개인 식별 정보가 필요 없습니다. 그래서 비트코인으로 거래하면 별다른 인적 사항이 남지 않고 돈을 주고받은 주소만 남게 돼, 범죄에 이용되기도 하죠. 랜섬웨어로 돈을 요구하는 해커들도 거래 시 비트코인을 사용합니다. 비트코인을 이용한 거래는 계좌추적이 어려워 범인을 검거하기가 더 어렵다고 하네요.
기본적인 수칙들만 잘 지켜도 여러분의 파일은 무사하다. 매번 이런 수칙을 떠올리고 실행하는 게 귀찮은 일이긴 하지만, 어쩌겠는가. 랜섬웨어엔 예방법 말고는 아직 답이 없다.
PLUS
해커들이 요구하는 비트코인은 무엇인가요
비트코인은 인터넷 상에서 쓰이는 가상화폐입니다.
옛날 옛적 싸이월드에서 사용하던 도토리처럼 물건을 살 때 현금처럼 이용할 수 있죠. 비트코인은 은행이나 다른 대행업체를 거치지 않고 개인 대 개인으로 인터넷을 통해 거래할 수 있어 수수료가 적습니다.
계좌 사용에 자격요건 제한이 없다는 장점도 있어요. 하지만 이 점은 장점이자 치명적인 단점이 될 수 있습니다. 비트코인 계좌를 만들 때는 주민번호나 실명과 같은 개인 식별 정보가 필요 없습니다. 그래서 비트코인으로 거래하면 별다른 인적 사항이 남지 않고 돈을 주고받은 주소만 남게 돼, 범죄에 이용되기도 하죠. 랜섬웨어로 돈을 요구하는 해커들도 거래 시 비트코인을 사용합니다. 비트코인을 이용한 거래는 계좌추적이 어려워 범인을 검거하기가 더 어렵다고 하네요.
