'서비스형 랜섬웨어(RaaS)'가 확산하며 국내외 기업과 기관들의 피해도 기하급수적으로 증가하고 있다. 전문지식이 없는 비전공자라도 돈을 내고 서비스형 소프트웨어(SaaS)로 제작된 툴킷을 구매해 간편하게 공격자로 거듭날 수 있는 환경이 만들어졌기 때문이다. 이에 랜섬웨어를 탐지하고 방어하는 것 만큼이나 복구도구로 피해를 최소화하는 것이 중요하다는 조언이 나와 주목된다.

이영주 한국인터넷진흥원(KISA) 차세대암호융합팀 선임연구원은 29일 여의도 국회도서관 소회의실에서 열린 '제20회 해킹보안세미나'에서 "랜섬웨어 초기에는 제작자들이 직접 코딩해 실행 프로그램을 배포하는 방식이었지만, 최근에는 해킹 집단에서 제작한 툴킷을 다른 공격자에게 판매하는 방식으로 이뤄지고 있다"며 "이 때문에 지난해부터 랜섬웨어 피해가 급증했으며, 올해도 이같은 추세는 유지될 것"이라고 설명했다.

국내 보안기업 이스트시큐리티 자료에 따르면 지난해 탐지된 랜섬웨어 공격은 약 62만건으로, 월 단위로 추산하면 약 5만1600건에 달한다. 국내 랜섬웨어 피해 신고 건수 또한 폭증하고 있다. 과학기술정보통신부에 신고된 피해는 지난 2018년 22건에서 지난해 223건으로 10배 가량 증가한 것으로 나타났다.

이 연구원은 공격을 100% 탐지하고 방어하는 일이 불가능한 만큼, '복구'에 초점을 맞춰야 한다고 강조했다. 그는 "랜섬웨어 공격은 '윈도우 원격 데스크톱 프로토콜(RDP)', 이메일을 통한 피싱 등 다양한 방법으로 이뤄지며 100% 예방이 어렵다"며 "탐지와 방어도 중요하지만 감염이 됐을 때는 복구로 피해를 최소화하는데 힘을 써야 한다"고 설명했다. 이어 "랜섬웨어 또한 결국 사람이 만든 것이기 때문에 취약점이 존재한다"며 "이를 분석해 복구가 가능한지 판단하고 '복구도구'로 조치를 취해야 한다"고 부연했다.

현재 KISA는 랜섬웨어 국제 협력 프로젝트 '노모어랜섬(nomoreransom)' 협력 파트너로 활동하며 'magniber', 'SimpleLocker' 랜섬웨어에 대한 복구도구 및 사용 매뉴얼을 지원하고 있다. 최근에는 하이브 랜섬웨어에 대한 통합 복구도구를 개발·배포하기도 했다.

하이브 랜섬웨어는 RDP 취약점을 이용해 시스템에 침투한 후 파일을 암호화하고, 버전에 따라 파일 확장자를 '.hive' 또는 랜덤한 문자열로 변경하는 랜섬웨어다.

이 연구원은 "지난 2020년 노모어랜섬 협력 파트너로 격상돼 기술과 복구도구를 제공하고 있다"며 "최근 개발에 성공한 하이브 랜섬웨어 통합 복구도구외 나머지도 노모어랜섬과 협의해 올해 하반기 중 공개할 예정"이라고 설명했다.

또 그는 "보통 랜섬웨어도 악성코드 일부니 보안 프로그램으로 탐지하고 사전에 예방하자고 생각하는 경우가 많지만 감염 이후에는 복구가 더 중요하다"며 "KISA는 복구도구를 개발해 피해자들이 무료로 이용할 수 있도록 제공하고 있으며, 향후 관련 연구를 거듭해나갈 예정"이라고 덧붙였다.

김가은 기자 7rsilver@techm.kr