연말정산 안내·예약문의..랜섬웨어의 진화

작년 피해상담신고 1438건, 전년도 두배…12월만 464건
올해는 한국어로 작성된 이메일로 공격하는 '비너스락커' 활개

[아시아경제 한진주 기자]랜섬웨어의 공격이 잦아지고 종류가 다양해지면서 이용자들의 피해가 극심해지고 있다. 한국어로 작성된 이메일을 통해 유포되는가 하면 특정 기관을 겨냥하는 랜섬웨어까지 등장했다.

28일 인터넷진흥원 등에 따르면 지난해 랜섬웨어 피해 상담 신고는 1438건으로 전년(770건) 대비 2배 증가했다. 특히 지난해 12월에 접수된 피해신고는 총 464건으로 집계가 시작된 이래 최대치였고, 지난 1월(347건)은 두 번째로 많았다.

랜섬웨어는 사용자의 데이터를 암호화해 파일을 열 수 없게 만든 후 암호를 풀기 위해서 비용을 요구하는 악성코드를 말한다. 랜섬웨어가 국내에서 활개를 치기 시작한 것은 2015년부터였으나 신종ㆍ변종 랜섬웨어가 꾸준히 생겨나고 있다.

랜섬웨어 침해대응센터 조사 결과 랜섬웨어 종류가 크게 늘었다. 2015년 8종이었던 것이 지난해에는 16종으로 배증했다. 감염자 수는 2015년 5만3000여명에서 2016년에는 13만명 수준으로 확대됐다.

주 유포 경로는 위장한 이메일이나 인터넷 커뮤니티, 파일 공유 사이트(P2P) 등을 꼽을 수 있다. 지난해에는 IT커뮤니티 '뽐뿌'를 기점으로 '울트라크립트'라는 랜섬웨어가 확산되면서 다수의 개인들이 피해를 입기도 했다.

특히 지난해에는 '록키' 랜섬웨어의 변종, '케르베르(CERBER)' 등이 전체 공격의 80%를 차지했다. '록키'는 송장이나 지급 문서로 위장해 외부에서 다운로드하게 하는 방식이며, '케르베르'는 음성으로도 감염 사실을 안내하는 랜섬웨어로 지속적인 업데이트를 통해 관리ㆍ유지까지 하는 서비스형 랜섬웨어다.

최근에는 '한국어'로 작성된 이메일로 유포되는 '비너스락커' 변종이 위세를 떨치고 있다. 비너스락커는 예약문의, 일정안내, 연말정산 안내, 내부 지침공지 등으로 위장한다. 법무법인에 법률 상담 메일을 보내는 등 기관이나 기업을 겨냥한 맞춤형 공격을 한다. 감염되면 PC 파일의 확장자 명을 '.venusp', 'venusf' 등으로 변경시킨다.

이스트시큐리티는 "최근 수개월간 국내 기관과 기업을 집중적으로 겨냥한 비너스락커 변종 랜섬웨어 공격이 이어지고 있다"며 "올해 상반기 국내에서 가장 큰 보안 위협이 될 것으로 예상된다"고 설명했다.

랜섬웨어 피해가 확대되자 인터넷진흥원은 대응책 마련에 고심하고 있다. 대부분의 랜섬웨어는 러시아, 중국 등지에서 제작돼 국내로 유포된다는 점에 착안, 해외의 블랙마켓에서 유통되는 랜섬웨어 정보를 보안ㆍ백신업체들에게 공유하는 '랜섬웨어 수집 허브'를 운영할 계획이다.

랜섬웨어 유입 경로를 국제연동망으로 탐지ㆍ차단하는 장치도 도입할 예정이다. 이동통신사들의 협조를 받아 외국과의 통신 구간에서 악성코드의 진입을 차단한다는 것이 골자다.

인터넷진흥원 관계자는 "랜섬웨어 수집 허브 관련 용역을 오는 3~4월 중 발주할 계획"이라며 "이밖에도 한국과 외국간 통신 구간에서 랜섬웨어가 들어오는 것을 탐지하기 위한 장비 구축도 이르면 3분기 중 시작할 것"이라고 말했다.

인터넷진흥원은 랜섬웨어 피해 구제책을 찾기 위한 연구도 진행한다. 지난 1월 6명으로 '암호기술팀'을 신설한 것이 대표적이다. 암호화 기술을 악용하는 랜섬웨어 공격에 대응할 기술을 연구하기 위한 조치다.

인터넷진흥원 측은 "랜섬웨어가 사용하는 암호키는 우리가 상용으로 쓰는 보안솔루션만큼 정교하지 않아 암호화 키를 복원할 수 있는 기술을 연구할 것"이라며 "개발 이후 기업들에 이전하는 방안을 고려하고 있다"고 덧붙였다.

한진주 기자 truepearl@asiae.co.kr