진짜보다 무서운 사이비 랜섬웨어

허술한 서버 노린 '랜섬웨어 흉내' 사례

(지디넷코리아=임민철 기자)일종의 '사이비(似而非) 위협'이 실제 사이버위협 못잖은 피해를 몰고 올 수 있을까.

작년말께 수많은 사이버보안 기술 및 솔루션 전문업체가 랜섬웨어(ransomware) 공격을 2017년 주요 사이버위협 요소로 꼽았다. 랜섬웨어 공격은 기기를 감염시켜 사용자 데이터를 빼돌리거나 무단 삭제, 암호화 등으로 파괴, 변조한 다음, 데이터 복구를 댓가로 금품을 요구하는 형태를 띤다.

랜섬웨어. 사이버보안. 사이버위협. 사이버범죄. 악성코드. 서버털이. 보안취약점. [사진=Pixabay]

랜섬웨어는 이런 공격자가 데이터를 망가뜨리고 사용자에게 금품 요구 메시지를 보여주기 위해 동원하는 악성코드 유형을 가리킨다. PC, 모바일기기, 가전, 임베디드 장치, 심지어 자동차 등 온갖 종류의 스마트 단말기가 그 위협에 이미 노출됐거나, 장차 그리 될거란 분석이 쏟아졌다.

[☞관련기사: "사이버위협, 웨어러블부터 클라우드까지"]

우려는 증폭됐다. 랜섬웨어 공격 피해 사례는 개인을 넘어 기업 조직이나 교육기관, 의료기관 등으로 확산 추세다. 금전적 피해 규모도 늘고 있는 게 사실이다. 그런데 최근 대중적으로 인기를 얻은 오픈소스 소프트웨어 사용 시스템을 노린 '사이비' 랜섬웨어 공격마저 기승을 부리고 있다.

올초 외신 보도에 따르면 정초 직후인 1월 2일부터 약 닷새에 걸쳐 세계각지 '몽고DB' 서버를 대상으로 한 '데이터 파괴' 공격이 다수 발생했다. 몇몇 해커 그룹이 소기업, 병원, 학교 등의 몽고DB서버 수만대의 데이터를 망가뜨리고, 복구 비용으로 0.1~1비트코인(BTC)을 요구했다.

[☞관련기사: 랜섬웨어 흉내낸 '몽고DB 털이' 급속 확산]

그로부터 1주일쯤 지나 '엘라스틱서치' 서버를 대상으로 비슷한 일이 생겼다. 대부분 아마존웹서비스(AWS) 클라우드상에 있는 엘라스틱서치 서버 3만5천대를 잠재 목표물로 삼아, 그중 4천대 이상의 데이터를 실제로 망가뜨린 공격이 벌어졌다. 역시 공격자가 복구 비용을 요구했다.

[☞관련기사: 랜섬웨어 흉내낸 '엘라스틱서치 서버털이' 급증]

두 사건 모두 공격자가 보안상 관리가 부실한 상태로 인터넷을 통해 연결될 수 있는 오픈소스 서버 시스템의 데이터를 노렸다. 데이터를 망가뜨리는 과정에 진짜 악성코드나 랜섬웨어는 불필요했다. 다만 공격자가 데이터를 볼모로 돈을 내놓으라 한 점은 닮았다. 랜섬웨어 기법을 모방한 일종의 사이비 공격이다.

피해자가 잃어버린 데이터를 되찾을 가능성면에서 보면, 진짜 랜섬웨어 감염을 당했을 때보다 이런 사이비 공격에 당했을 때가 더 나쁠 수 있다.

진짜 랜섬웨어 공격 시나리오에선 최소한 공격자가 피해자의 데이터를 되살릴 여지를 두는 편이다. 시만텍코리아 윤광택 최고기술책임자(CTO)는 지난해 7월 간담회 자리에서 "과거엔 (진짜 랜섬웨어) 공격자가 피해자의 데이터를 살려주는 비율이 적었다"며 "그러다 자기들의 '수익성'이 떨어지니까, 데이터를 살릴 수 있다는 믿음을 얻기 위해 돈을 받고 실제로 데이터를 살려주는 비율이 전보단 높다"고 언급했다.

이런 얘기다. 실제 악성코드를 동원해야 하는 랜섬웨어 공격은 아무에게나 성공시킬 수 없기 때문에, 수익성을 염두에 둔 공격자는 피해자와 일정 수준의 '정직한(?)' 거래를 해야 할 필요가 있다. 반면 사이비 공격은 그저 보안이 취약한 시스템이라면 아무에게나 광범위하게 시도할 수 있어서, 굳이 수익성을 의식해 정직한 거래를 할 필요가 많지 않다.

임민철 기자(imc@zdnet.co.kr)