IT

'13억 거래' 랜섬웨어 사태, 어떻게 될까

임민철 기자 입력 2017.06.15. 11:48 수정 2017.06.15. 11:51
음성 기사 옵션 조절 레이어
글자 크기 조절 레이어
'먹튀 vs 거래' 따라 향후 파장 크게 달라질듯

(지디넷코리아=임민철 기자)랜섬웨어에 감염당한 호스팅업체 인터넷나야나가 해커에게 13억원 상당의 돈을 건네기로 했다. 강제로 암호화된 데이터의 복호화 키를 받는 비용 명목이다.

소실될 위기에 처한 고객 데이터를 되찾기 위한 선택이었다는 게 회사측 입장이다. 하지만 이 결정이 이후 국내 전체에 줄 영향을 생각해볼 때, 마냥 안도할 수도, 해커의 '신사도'를 바랄 수도 없는 상황이다.

이제 해커는 복구 비용을 받고 정상 작동하는 복호화 키를 제공하는 '거래'를 할 수도, 복구 비용만 받고 내빼거나 제 역할을 못 하는 복호화 키를 제공하는 척하는 사기를 칠 수도 있다. 이미 인터넷나야나가 복구 비용을 지불하기로 합의한 시점 이후 국내 겨냥 랜섬웨어 위협은 더 커졌다는 게 중론이지만, 해커의 선택에 따라 한국 사회의 피해 대응에 관한 인식은 다소 달라질 전망이다.

해커는 지난 10일 인터넷나야나가 호스팅 중이던 홈페이지 수천곳의 데이터를 망가뜨렸다. 리눅스 운영체제(OS) 주요 경로의 443가지 확장자 파일을 무단 암호화하는 에레보스 또는 에레버스(Erebus) 랜섬웨어를 동원했다. 이로써 인터넷나야나의 리눅스 서버 300대 중 153대를 감염시켰다. 호스팅 이용자 데이터 원본과 내외부 백업을 암호화해 자체 복구할 수 없게 만들었다.

인터넷나야나는 이날 확인한 감염 피해 사실을 관계당국에 신고했다. 한국인터넷진흥원(KISA)과 경찰청 사이버수사대가 조사 및 수사에 나섰다. 12일 정부 브리핑에 따르면 랜섬웨어로 인한 피해 기업 및 단체 홈페이지 수는 3천400곳 가량이었다. 대부분 규모가 작은 조직이었다. 이날 인터넷나야나에 따르면 해커는 초기 826.2비트코인(27억원)에서 550비트코인(18억원) 수준으로 조정된 복구 비용을 요구했다.

인터넷나야나는 14일 오후 4시경 공지를 통해 "(해커와 협상한 결과) 13억원 정도 비용을 지불하여 복호화키 값을 받기로 했다"고 밝혔다. 이어 오후 9시경 공지를 통해 해커와 주고받은 최종 협상 내용을 공개하고, 이후 150대 가량의 서버를 순차적으로 복구하기 위한 작업 일정을 예고했다. 최종 합의한 복구 비용은 397.6 비트코인이다.

■ 앞으로 어떻게 될까

악수를 위해 내민 손. [사진=Pixabay]



2가지 극단적인 예측을 해 보자. 우선 해커가 실제로 거래를 하기로 했다면 벌어질 상황은 이렇게 요약된다.

해커는 인터넷나야나 측과 합의한대로 13억원 상당의 비트코인을 받는다. 자신들의 랜섬웨어에 감염당한 리눅스 서버 153대의 데이터를 복호화할 수 있는 키를 제공한다. 인터넷나야나는 이를 통해 모든 서버의 데이터 복구에 성공한다. 이 사실이 국내외에 알려진다.

한국 사람들은 생각한다. "랜섬웨어에 데이터를 암호화 당했을 때 백업으로 살리지 못하면 해커에게 돈이라도 줘야 하는구나." 전세계 범죄자들은 생각한다. "한국에선 호스팅회사 보안 뚫고 수천개 웹사이트 고객 데이터 인질로 잡으면 13억원어치 비트코인은 벌 수 있구나."

이제 악순환이다. 국내에서 다른 공격으로 감염된 업체가 또 나오고, 이번에도 해커에게 돈을 건네고, 복호화 키를 받고, 복구에 성공한다. 한국은 고수익을 보장하는 랜섬웨어 복호화 키 거래 시장으로 점점 더 유명해진다. 더 많은 범죄자들이 가세한다.

이와 달리, 해커의 거래 의지가 불성실하거나 처음부터 사기를 치려고 했다면 벌어질 상황은 이렇게 요약된다.

해커는 합의한대로 13억원 상당의 비트코인을 받는다. 이후 랜섬웨어에 감염당한 리눅스 서버 데이터를 복호화할 수 있는 키를 제공하는 데 대부분 또는 전부 작동하지 않는다. 아니면 아예 제공하지 않고 잠적한다. 인터넷나야나는 데이터 복구에 실패한다. 이 사실이 알려진다.

한국 사람들은 생각한다. "랜섬웨어에 데이터를 암호화 당했을 때 백업으로 살리지 못한다 해서 해커에게 돈을 줘 봤자 소용 없구나." 전세계 범죄자들은 생각한다. "한국 호스팅회사 고객 데이터 인질로 잡으면 13억원어치 비트코인 '먹튀'할 수 있구나, 내가 먼저 해야지."

일시적으로는 한국을 겨냥한 사이버 위협 수준이 커지고, 국내에서 다른 공격으로 감염된 업체, 그중 해커에게 돈을 건네는 곳이 또 나온다. 다만 이후엔 다를 수 있다. 일종의 '거래 신뢰성'이 희박해지면 더 이상 한국이 고수익을 보장하는 랜섬웨어 시장으로 알려지진 않을 수 있다.

[사진=Pixabay]

■ 사이버위협 고조 불가피할 듯

물론 다른 변수도 있다. 인터넷나야나 측은 회사 처지에서 막대한 자금을 총동원해 데이터 복구 비용을 지불하기로 했다. 그런만큼 복구를 성공시키기 위해 최선을 다하고 있을 것이다. 해커가 일방적으로 '먹튀'할 가능성을 최소화하기 위해 나름대로의 장치와 조건을 갖췄을 것이다.

해커가 인터넷나야나의 기대대로 움직인다면 결국 거래는 순차적으로 진행되고, 복구는 성공할 것이다. 이미 앞서 인터넷나야나 호스팅 이용자 가운데 일부가 개별적으로 복구 비용을 내고 해커에게 복호화 키를 받아, 복구에 성공한 사실도 알려진만큼, 놀랄 일은 아니다.

보안업계는 해커와 인터넷나야나의 합의 체결 자체로 인한 부정적 효과를 우려하고 있다. 앞으로 벌어질 일이 위 2가지 상황 가운데 어느 쪽이든, 국내 기업 전반의 사이버위협은 한층 고조될 것이란 관측에서다.

이번엔 '웹호스팅'이라는 업종 불문 데이터가 감염당했지만, 중요도가 더 높은 특정 분야를 노린 랜섬웨어 공격 가능성이 커질 우려도 한 보안전문가를 통해 제기됐다. 신상정보와 금융정보를 갖고 있는 쇼핑몰, 환자들의 의료정보를 보유한 병원 등이 표적이 될 수 있다는 뜻이다.

어떤 업종이든 인터넷을 통해 접근 가능한 모든 인프라의 데이터를 보호하는 것은 중요하다. 다만 전자상거래, 금융, 의료, 공공 등 일반적으로 중요도가 더 높다고 볼만한 영역이 존재하는 것도 사실이다. [사진=Pixabay]

요컨대 해커와의 협상을 벌여 복구 비용을 지불하기로 한 인터넷나야나의 대응은 중요 데이터를 잃을 위기에 처한 호스팅 이용자를 제외한 이들에게 긍정적으로 평가될 수 없는 성격을 띤다. 그렇다면 국내 사회 전반의 관점에서 최선의 대응은 뭐였을까.

전문가들은 해커와의 협상 자체를 부정한다. 냉정하게 표현하면 '스스로 복구할 수 없으면 데이터를 포기하라'고 당부한다. 랜섬웨어 감염으로 고객의 데이터를 잃게 된 회사뿐아니라, 자신의 데이터를 잃게 된 호스팅 이용자 당사자들에게도 마찬가지로 적용되는 메시지다.

원론적인 얘기다. 처음부터 사이버보안체계를 잘 갖추고, 침해가 발생하더라도 피해를 최소화할 수 있도록 데이터를 보호, 백업하는 장치를 마련해 두라는 것이다.

다만 인터넷나야나가 이를 소홀히 했기 때문에 이번 사태가 벌어졌다고 단정할 수는 없다. 랜섬웨어 감염 경로는 한국인터넷진흥원(KISA)과 경찰청 사이버수사대에서 파악 중이나, 아직 확인되지 않았다. 지난달 알려진 리눅스의 삼바(Samba) 공유서버 보안취약점이 악용된 결과 또는 처음부터 인터넷나야나라는 회사를 작정하고 노린 지능형지속위협(APT) 공격이라는 추정이 제기된 상태다.

임민철 기자(imc@zdnet.co.kr)