하버드대 출신 진화생물학자 조지프 포프 박사는 1989년 90여 개국의 후천성면역결핍증후군(AIDS) 관련 시민단체, 연구자 등 2만여명에게 ‘에이즈 정보 소개’라는 플로피디스크를 보냈다. 이 디스크는 PC에 저장된 파일들을 암호화했고 암호를 풀려면 189달러를 보내라는 메시지를 띄웠다. 189달러 사용처는 에이즈 관련 사업이었다. 그 디스크에는 ‘AIDS.trojan’이라는 소프트웨어가 있었다. ‘트로전’(trojan)은 정상 파일 형태로 위장한 악성코드를 뜻한다. 포프 박사의 행위는 공격 대상 내부에 침입해 파일을 암호화한 뒤 해당 파일을 이용하고 싶다면 돈을 내라고 요구하는 랜섬웨어의 시초로 평가받는다.

랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어다. 해커들은 과거에는 무작위로 이메일이나 디스크를 보낸 뒤 컴퓨터를 감염시켜 돈을 요구했다. 요즘은 예상되는 피해 규모, 몸값 지불 능력 등을 감안해 해당 기업을 정한 뒤 프로그램이나 운영체제의 취약점을 통해 집중 공격한다. 악성코드에 감염시켜 파일을 암호화하기 전 정보를 빼돌린 뒤 이를 외부에 유포하겠다고 협박도 한다. 러시아 정보보안업체 카스퍼스키는 이런 공격을 ‘랜섬웨어 2.0’이라 부른다.

지난달 랜섬웨어 공격을 받은 미국 최대 송유관 운영사 콜로니얼 파이프라인은 해커들에게 75비트코인(약 57억원)을 주고 나서야 복구가 시작됐다. 비트코인이 관리감독 주체가 없고, 거래 기록이 거의 없어 범죄 수단으로 선호된다는 점을 증명한 셈이다. 이번 공격이 랜섬웨어 서비스 형태라는 점에서 전 세계 보안당국들의 우려도 크다. 송유관 운영사를 공격한 ‘다크사이드’는 러시아에 기반을 둔 해커조직으로 랜섬웨어 유포를 위한 인프라 제공, 타깃 맞춤형 악성코드 제작 등을 지원한다. 서비스를 이용한 집단이 랜섬웨어 공격에 성공해 돈을 받으면 이를 다크사이드와 나누는 방식이다.

세계 최대 육류가공업체 JBS SA도 지난달 30일 러시아 기반 해커조직으로부터 랜섬웨어 공격을 받았다. 전 세계 20개국에 생산시설을 운영 중인 JBS SA가 일부 시설을 가동 중단하면서 미국, 호주, 캐나다 등의 육류 생산이 차질을 빚었다. 한국 기업도 예외는 아니다. 지난해 11월 이랜드그룹이 랜섬웨어 공격을 받아 백화점, 아울렛 등 일부 매장이 휴업했다. 올 들어 LG전자, CJ셀렉타 등도 공격받아 내부 정보 일부가 유출됐다.

랜섬웨어는 범죄집단 간 분업(?)으로 진화하고 있다. 기업은 물론 보안당국도 이에 맞설 능력을 개발해야 한다. 개인은 백신 프로그램 설치와 최신 업데이트, 주요 파일 백업 등을 해야 한다는데 지금 당장 해야겠다.

lark3@seoul.co.kr