감염되면 모든 파일 암호화…“백신 주기적 업데이트 필요”

#1. 경기 부천원미경찰서 홍보담당 백모 순경은 지난 4월 자취방 컴퓨터를 켰다가 대부분 파일의 확장자명이 ‘*.vvv’, ‘*.ccc’ 등으로 바뀐 것을 보고 깜짝 놀랐다.

확장자가 바뀐 파일은 아무리 더블클릭을 해도 열리지 않았고, 그간 경찰 홍보 영상 편집을 위해 모은 자료들도 암호화돼 먹통이었다.

바탕화면에 새로 생긴 파일에는 “암호를 풀고 싶으면 돈을 지불해야 한다”는 메시지만 나타날 뿐이었다.

백 순경은 “인터넷 광고 배너를 잘못 눌러 알 수 없는 사이트로 접속했던 것이 원인”이라며 “백신 프로그램으로 검사를 수차례 했지만, 이상이 없다는 결과만 나와 결국 컴퓨터를 포맷했다”고 분통을 터뜨렸다.

#2. 의왕경찰서 지역경찰관인 김모 경위도 지난 10월 똑같은 피해를 봤다.

초등학생인 딸이 실수로 팝업창을 눌렀는데, 이후 회사 업무와 관련한 파일부터 추억이 담긴 가족사진 파일까지, 암호를 입력하지 않으면 사용할 수 없는 상태가 됐다.

바탕화면에는 “당신의 파일은 암호화됐다. 암호를 풀고 싶으면 URL을 클릭하라”는 메시지와 함께 출처를 알 수 없는 URL 10여 개가 나열됐다.

김 경위는 “암호를 풀기 위해 그들이 요구하는 대로 돈을 준다고 해도, 완벽한 복구를 장담할 수 없다는 보안업계 관계자 말을 듣고 포기할 수밖에 없었다”고 한탄했다.

컴퓨터의 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 ‘랜섬웨어’가 기승을 부리고 있어 사용자들의 주의가 요구된다.

랜섬웨어란 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 악성 프로그램의 일종이다.

수사당국은 지난 2005년 암호화 기능을 갖고 등장한 Gpcorder(트로이목마 악성 코드의 일종) 트로이목마가 그 시초인 것으로 보고 있다.

이후 랜섬웨어는 포털사이트, 토렌트, 이메일, 배너 광고, 해외 웹사이트 등을 통해 무작위로 퍼져나가 피해 사례가 급증했다.

한국인터넷진흥원(KISA)은 지난해 4월 한글 버전 랜섬웨어인 ‘크립토락커’ 확산 이후 감염증상과 예방법 문의가 늘어나자 기존 ‘해킹 바이러스’로 분류된 랜섬웨어 상담 건을 별도 상담유형으로 구분하는 데에 이르렀다.

올해 들어 KISA에 들어온 랜섬웨어 상담문의만 지난달 말 기준 1천 건을 넘는다.

무서운 증가세를 보이는 랜섬웨어의 또 다른 문제는 유포자의 행적과 관련한 단서를 파악하기 어렵다는 점이다.

실제로 지난 4월 수원시의 한 병원에서 컴퓨터에 저장된 환자 기록과 의사 소견서 등 파일이 랜섬웨어로 인한 피해를 봤다는 신고가 들어왔으나 유포자는 끝내 찾지 못했다.

암호를 푸는 대가로 돈을 요구한 그가 제시한 사이트는 이미 폐쇄된 뒤여서 추적이 불가능했기 때문이다. 결국, 경찰은 기소중지 의견으로 사건을 검찰에 송치했다.

전문가들은 랜섬웨어 피해를 보지 않기 위해서는 예방이 최선이라고 입을 모은다.

경기남부경찰청 관계자는 “백신 프로그램을 항상 최신 버전으로 업데이트해두고, 보안이 취약한 사이트 방문을 자제해야 한다”며 “발신자가 불명확한 이메일은 열어보지 말고, 중요 자료를 주기적으로 백업해 두는 것이 좋다”고 조언했다.

이어 “해외에서 국내를 타깃으로 하는 랜섬웨어의 경우 수사 착수를 위한 국제 공조에 많은 시간이 걸린다”며 “IP주소를 숨기는 방법도 다양화해 유포자를 추적하는 데에 어려움이 많다”고 덧붙였다.

경기남부경찰청은 페이스북(facebook.com/gyeonggipol)에 랜섬웨어 피해 사례와 예방법을 소개하는 글을 올려 홍보할 계획이다.

연합뉴스