랜섬웨어는 파일을 인질로 삼아 금전을 요구한다고 해서 몸값을 의미하는 랜섬(Ransom)과 제품을 뜻하는 웨어(ware)의 영어 합성어다.

 

랜섬웨어에 감염되면 해커는 감염된 컴퓨터 내의 모든 파일을 암호화해 정상적으로 사용하지 못하게 만든다. 이후 해커는 이를 풀 수 있는 ‘복호화툴’을 준다는 명목으로 비용을 요구한다. 여기에서는 추적이 어려운 전자화폐나 비트코인(Bitcoin : 2009년 나카모토 사토시가 만든 디지털 화폐로 누구라도 생성 가능하기 때문에 익명성이 보장됨)을 사용하기 때문에 악성코드를 심은 해커를 검거하기란 쉽지 않다. 때문에 일단 한 번 감염되면 이전에 백업해 놓은 데이터로 복구하거나 해커들에게 돈을 내고 암호키를 받아내는 수밖에 없다. 그러나 돈을 지불할 경우 해커가 제대로 된 암호 키를 줄지도 미지수다.

 

 

이처럼 신종 바이러스가 창궐하자 랜섬웨어를 이용해 터무니없는 복구비용을 요구하거나 고의로 제품을 손상시켜 수리비를 청구하는 악덕업체들도 난립하고 있다. 파일을 복구해준다는 미끼를 던지고 데이터를 볼모로 비용 협상을 하는 것이다.

 

B 제조회사는 3월 초 사내 노트북 한 대가 랜섬웨어에 감염됐다는 사실을 깨달았다. 서버를 통해 타 PC도 감염됐을지 우려한 B 회사 측은 포털사이트 상단에 광고 중인 C 수리업체에 노트북 4대와 서버를 맡겼다. 그런데 C 수리업체는 검사 결과 4개의 노트북이 바이러스에 동시 감염되었다며 최초 복구 견적으로 무려 1650만 원을 요구했다.

 

비싼 가격에 당황한 B 회사가 복구를 주저하자 C 수리업체는 잠시 후 내부적으로 회의를 진행했다며 1180만 원까지 비용을 협상할 수 있겠다고 말했다. 이상하다고 느낀 B 회사는 수소문해 Y 복구업체에 재차 복구 문의를 했다. 알고 보니 C 수리업체는 평소 동종업계 내에서도 부당한 방식으로 수리비를 받는 악덕업체로 악명이 자자했다.

 

Y 복구업체 담당자는 C 수리업체에 맡긴 PC의 다른 피해가 우려된다며 B 회사에 노트북과 서버를 받아올 것을 제안했다. 그러나 C 수리업체는 B 회사의 요청을 거절했다. 현재 하드디스크를 스캔하고 있어 약 5~6시간 뒤에나 장비에서 해제가 가능하다는 것이 이유였다. B 회사가 재차 PC를 돌려달라고 요청하자 C 수리업체는 복구하지 않고 제품을 가져갈 경우, 그 어떤 문제도 제기하지 않는다는 각서를 받고서야 노트북을 돌려줬다. Y 복구업체가 겨우 공수해온 노트북을 재검사한 결과, C 수리업체에서 랜섬웨어 바이러스 판정을 받았던 4개의 노트북 중 랜섬웨어에 감염된 PC는 단 한 대뿐이었던 것으로 드러났다. 또 맡길 때만 해도 괜찮았던 노트북 한 대는 서버 연결이 불가했고 부팅도 되지 않는 상태로 돌아왔다.

 

Y 복구업체 김은수(38·가명) 대표는 “동종업계 사람들이라면 이 악덕업체가 어디인지 알 것”이라며 “광고비용을 투자해 인지도를 높이며 기사들을 채용해 디스크를 수거해간 뒤 파일의 중요도에 따라 말도 안 되는 견적을 내는 수법을 일삼는다”고 설명했다. 또 “자칫 비용 부담으로 타업체를 알아본다고 말하면 데이터를 고의로 훼손시켜 어느 곳에서도 복구가 불가능하게 하기도 한다”며 악덕업체의 만행을 폭로했다. 덧붙여 그는 “랜섬웨어 감염 시 되도록 원본 하드를 외부에 반출하지 말고 신뢰할 수 있는 업체에 의뢰해야만 2차 피해를 예방할 수 있다”고 조언했다.

 

실제 2014년에도 수리를 맡긴 고객의 컴퓨터에 몰래 부팅 방해 프로그램을 심은 뒤 부당하게 데이터 복구비용을 청구한 유명 컴퓨터 수리업체가 적발된 바 있다. 이들은 수리기사들에게 부팅 방해 악성코드 실행 방법을 가르쳐 주고 고객에게 하드디스크를 바꿔야 한다고 속여 1만 3000여 명으로부터 약 21억 원을 챙겼다.

 

이처럼 허위로 복구비용을 요구하거나 악성코드를 심어 수리비를 요구하는 행위가 근절되지 않는 이유는 무엇일까? 김 씨는 이에 대해 “사실 전문적인 지식이 없는 사람이, 허위로 제품을 손상시키고 수리비를 요구했다는 내용을 입증하기란 한 개인이 의료사고를 밝혀내는 것만큼이나 힘이 든다”며 “허위 수리비를 입증하기에 난해한 부분들이 있다”고 말했다.

 

 

보안전문업체 파이어아이의 연구진들은 신종 랜섬웨어의 일종인 크립토락커(Cryptolock er)를 이용한 해커들이 2013년 9월부터 2014년 4월까지 9개월 만에 총 300만 달러(한화 약 34억6350만 원)를 벌어들였다고 말했다. 한국랜섬웨어침해대응센터는, 2015년 랜섬웨어 복호화툴로 피해를 본 감염자 수가 5만3000명, 피해액도 1090억 원에 이르는 것으로 추산했다. 올해 들어 15만 명이 감염돼 피해액도 3배 정도 늘어날 것으로 예상했다.

 

랜섬웨어를 예방하려면 어떻게 해야 할까. 안랩 측은 “스팸성 이메일 실행을 자제하고 주요 파일은 평소 백업해 두어야 한다”고 조언했다. 그러면서 “주요 문서는 ‘읽기 전용’으로 설정하는 것이 감염 예방에 도움을 줄 수 있다”고 밝혔다.

 

 

또 주요 파일이나 기밀문서는 백업을 생활화하기를 추천했다. 평소 중요한 데이터를 백업해두면 랜섬웨어에 감염돼도 안심할 수 있기 때문이다. 보안업계 관계자는 “신종 랜섬웨어는 PC를 감염시켜 컴퓨터에 저장된 파일과 공유 서버의 파일까지도 암호화한다. 때문에 서버가 분리된 백업 파일을 소지하고 있어야 한다”고 말했다.

 

한 보안업체 솔루션 사업팀 관계자는 “현재 피해자가 사설 복구업체에 수수료를 선입금하면 업체에서 해커에게 비용을 지불하고 복구에 성공할 경우 비트코인 비용과 수수료를 추가 지불해야 하는 형태”라며 “사설업체를 이용할 경우 감염된 바이러스 종류를 확인하지 않고 무조건 100% 복구할 수 있다고 주장하는 업체는 주의하라”고 조언했다. 또 “랜섬웨어 관련 정보가 많아지면서 수백만 원에 달하는 수수료를 요구하거나 잠적하는 업체가 드물어 졌다”면서도 “여전히 피해자의 조급한 마음을 이용해 부당한 이득을 취하려는 업체도 적지 않은 만큼 사전 피해 예방에 철저해야 한다”고 강조했다.