이현덕이 만난 생각의 리더<67>`랜섬웨어 대책은?` 이상진 한국디지털포렌식학회장(고려대 교수)

“돈을 보낼래, 모든 데이터를 포기할래?”

 

사이버 범죄인 `랜섬웨어(Ransomware)`가 기승이다. 데이터를 암호화해 놓고 이를 인질처럼 담보물로 삼아서 돈을 요구하는 범죄다. 선택은 두 가지다. 돈을 보내거나 데이터를 포기하는 일이다. 아직까지 뾰족한 대응책이 없다.

 

한국 디지털포렌식 권위자인 이상진 한국디지털포렌식학회장(고려대 정보보호대학원 부원장.사진 전자신문)을 지난달 28일 만나 대응책을 들었다.

 

그는 “랜섬웨어에 감염되면 이를 해결할 마땅한 묘책이 없다”면서 “최선의 대응책은 예방”이라고 말했다.

이 교수와 냉커피를 마시며 한 시간여 동안 랜섬웨어 대응책에 관해 인터뷰를 했다.

 

-랜섬웨어는 무엇인가.

▲랜섬은 `몸값`이란 말이다. 당해 본 사람만 실상을 안다. 개인이나 기업이 사용하는 컴퓨터나 스마트폰에 악성 코드를 심어 놓고 금전을 요구하는 범법 프로그램이다. 저장한 글이나 사진, 동영상, 각종 자료를 암호화해 놓고 돈을 내라고 협박한다. 돈을 보내거나 암호를 풀지 못해서 데이터 사용을 포기해야 한다.

 

-이런 악성 프로그램은 누가 만들었는가.

▲아직 누군지 모른다. 랜섬웨어를 유포하고 돈을 요구하다가 붙잡힌 사람이 거의 없다. 악성 프로그램을 대량 유포하고 돈을 요구하는 걸로 봐서는 범죄 집단으로 추측된다.

 

-가능성이 농후한 집단은.

▲동구나 러시아 마피아 쪽으로 추측된다. 컴퓨터에서 랜섬웨어를 유포했을 때 영어, 일본어, 한국어 프로그램은 작동한다. 그런데 러시아어는 작동하지 않는다. 이를 근거로 보면 러시아 범죄 집단일 가능성이 있다. 만약 러시아에서 램섬웨어 피해가 발생하면 러시아 정부가 가만히 있겠나. 범인을 잡기 위해 수사력을 집중할 것이다. 피해 국가에서는 러시아 범죄 집단을 수사하지 못한다. 이런 점에서 러시아 마피아로 예상한다.

 

-랜섬웨어는 언제부터 활동했으며, 한국에는 언제 등장했나.

▲랜섬웨어는 1990년부터 외국에서 활동했다. 한국에는 2013년 이후 등장했다. 2015년 4월 국내 최대 온라인 커뮤니티의 하나인 클리앙이 해커에게 뚫려서 랜섬웨어가 사이트 접속자에게 대량 유포된 사태가 발생했다. 당시 접속자들은 중요한 파일에 암호가 걸리고 컴퓨터 저장장치가 파괴되는 등 심각한 피해를 보았다. 그 이후 랜섬웨어 유포가 급격히 늘었다.

 

-랜섬웨어 종류는 얼마나 되는가.

▲수십 종이다. 크게 세 계열로 구분한다. 크립토로커(Cryptolocker), 크립토월(Cryptowall), 테슬라크립트(TeslaCrypt)다. 갈수록 변종이 나돌고, 수법도 교묘하다.

 

-랜섬웨어 발생 추이는.

▲과거에는 몇 십 건 정도였다. 그러다 2014년부터 급증했다. 지금은 수천 건이 발생한다. 이건 통계에 잡힌 신고 건수다. 실제로는 이보다 더 많다. 가장 피해를 많이 보는 곳은 병원과 기업이다.

 

-왜 검거하지 못하나.

▲할 수가 없다. 일단 랜섬웨어를 유포해 데이터를 암호화해 놓고 돈을 요구하면 경찰청 사이버안전국이나 인터넷침해대응센터에 신고한다. 과거에는 계좌 이체를 통해 돈을 송금했다. 지금은 돈이 아닌 비트코인(Bitcoin)을 요구한다. 비트코인은 가상화폐다. 이건 유통은 하는데 추적이 어렵다. 수표를 사용하면 추적할 수 있지만 현금을 당사자끼리 주고받으면 추적이 어려운 것과 같다. 어떻게 보면 완전범죄다.

 

-국제 수사 공조는 안 하나.

▲이 문제는 한 국가가 해결할 수 없다. 미국과 유럽연합(EU) 간 공조 수사 움직임이 있다.

 

-랜섬웨어에 감염되면 컴퓨터에는 어떤 증상이 나타나는가.

▲컴퓨터를 켜면 바탕 화면에 안내문 같은 게 등장한다. 내용은 대략 이런 식이다 `글, 사진, 동영상을 암호화했다. 돈을 지불하면 복구 방법을 알려 주겠다. 그렇지 않으면 파일은 영영 복구할 수 없다.` 그러면서 비트코인 구입 방법까지 알려 준다.

 

-돈을 보내면 복구할 수는 있나.

▲초창기에는 돈만 챙기고 복구 방법을 알려 주지 않았다. 이른바 `먹튀`를 했다. 그러다 보니 돈을 보내지 않았다. 최근에는 돈을 받기 위해 복구 방법을 알려 준다. 개인은 보통 50만원이다. 기업은 액수가 크다. 지난해 국내 모 병원의 미국 분원에 랜섬웨어를 유포, 수천만원을 챙긴 일도 있다. 요구를 안 들어 주면 각종 의료 기록이 사라질 수 있어서 돈을 준 걸로 알고 있다. 자체에서 암호를 해독하는 일은 불가능하다.

 

-한국이 공격 대상국 세계 3위라고 하는데 사실인가.

▲한국은 30위권이다. 미국이 1위, 일본이 2위다. 경제 규모에 따라 유포 건수가 다르다.

 

-랜섬웨어의 주 공격 대상은 기업인가.

▲그렇다. 푼돈인 개인에 비해 기업에 랜섬웨어를 유포하면 목돈을 챙길 수 있다. 기업이 가진 데이터가 없다면 기업 경영은 어떻게 하겠나. 과거에는 무차별로 배포했지만 요즘은 기업이나 병원, 학교를 상대로 랜섬웨어를 유포한다.

 

-랜섬웨어의 유통 경로는.

▲크게 두 가지다. 하나는 이메일의 첨부 파일이다. 다른 하나는 인터넷 사이트를 이용한다. 여러 가지 파일을 무료로 내려 받을 수 있는 커뮤니티 사이트에 중요한 자료인 것처럼 위장, 랜섬웨어를 유포한다. 각종 배너광고를 이용하기도 한다.

 

-휴대폰도 공격 대상인가.

▲그렇다. 스미싱(Smishing)과 유사하다. `돌잔치 초대`나 `무료쿠폰 제공` 같은 메시지에 있는 인터넷 주소를 클릭하면 악성 코드가 휴대폰에 설치된다. 전화번호, 사진, 동영상을 암호화해 놓기 때문에 휴대폰을 사용할 수 없다. 요즘 중국에서 이런 일이 많이 일어난다고 한다.

 

-기존의 악성 코드와 랜섬웨어의 다른 점은.

▲둘 다 악성 코드다. 다른 점은 악성 코드는 내부 정보를 모르게 빼내 간다. 국가 주요 정보를 빼내 가는 스파이 행위를 하거나 기업의 기술 개발 비밀을 아무도 모르게 훔쳐 갔다. 이에 비해 랜섬웨어는 악성 코드를 감염시켜 놓고 데이터가 감염됐으니 `돈을 내놓으라`고 대놓고 협박한다. 불특정 다수를 상대로 돈을 갈취한다는 점이 차이다.

 

-랜섬웨어 백신은 없는가.

▲백신은 있지만 완전하게 막지 못한다. 최근에는 변종 랜섬웨어가 많다.

 

-감염되면 어떻게 조치해야 하나.

▲솔직히 말해서 확실한 해결책이 없다. 랜섬웨어에 감염되지 않도록 사전에 대비하는 게 가장 현명한 대응책이다. 예방만이 유일한 대책이다. 대기업은 전문가들로 보안 팀을 구성해 대응, 피해를 막는다. 문제는 그럴 여력이 없는 중소기업과 개인이다.

 

-개인이 할 수 있는 랜섬웨어 예방 수칙은.

▲보유하고 있는 중요한 데이터는 정기 백업해야 한다. 주의할 점은 USB에 데이터를 저장해 놓고 본체와 연결해 놓으면 안 된다. 본체와 분리해야 한다. 안 그러면 USB도 감염된다. 다음은 이상한 이메일 첨부파일은 열지 말고 즉시 삭제해야 한다. 소프트웨어(SW)는 항상 최신 버전으로 업데이트해야 한다. 불법 사이트에 접속해 무료다운을 받는 일도 하면 안 된다.

 

-네트워크를 잘 구축한 한국이 보안에 취약한 이유는 뭔가.

▲사이버 공간은 개별 조직이다. 삼성, LG, SK 같은 기업과 각급 학교, 정부 기관은 조직별로 보안 시스템을 구축하고 운영한다. 네트워크는 열린 공간이자 통로다. 누구나 다닐 수 있다. 보안은 개별 조직 단위로 운영하기 때문에 보안 팀이 없는 기업이나 개인은 보안에 취약하다.

 

-정부의 랜섬웨어 방지 대책은 무엇인가.

▲사이버 치안 예방 활동을 강화해야 한다. 지금은 사후 대응체계라 할 수 있다. 사이버 상에서 각종 범죄가 기승을 부리고 있지만 사전 치안 활동은 미미하다. 예를 들어 각종 악성 코드가 사이버 상에 떠돌면 사전에 파악해 차단 조치를 취하거나 보완책을 강구해야 하는데 이런 게 별로 없다. 지금은 범죄 신고를 받아야 수사를 시작한다.

사이버 치안 예방 활동을 하려면 경찰청과 한국인터넷진흥원에 그런 인력과 활동할 수 있는 예산이 필요하다. 정부와 민간 간 정보 공유를 강화해야 한다.

개인은 백신을 한 번 깔면 업데이트를 잘 안 한다. 또 컴퓨터에 문제가 생기면 새로 포맷을 하는 게 다수다. 기존 시스템에 보안 문제가 있는데 포맷을 한다고 해서 바이러스나 해킹으로부터 안전한 것은 아니다. 문제는 다시 생긴다.

 

-사이버 범죄를 막기 위해 개선해야 할 보안 관련 법이나 제도는.

▲사이버 치안 활동의 근거 법을 마련해야 한다. 과거 좀비PC방지법 제정을 추진했다가 반대가 심해 입법은 되지 못했다. 개인 기본권 침해와 과도한 정부 권한이 반대 이유였다. 이 문제를 재검토해야 한다. 처음에 폐쇄회로(CC)TV를 설치할 때 사생활 침해를 놓고 얼마나 반대했는가. 지금은 오히려 범죄 예방 및 방지에 크게 기여하고 있다. 사생활 침해 같은 문제가 생기기 않는 범위 안에서 20대 국회에서는 좀비PC방지법을 서둘러 제정해야 한다.

 

-좌우명과 취미는.

▲좌우명은 `자신에게 엄격하고 남에게 관대하자`이다. 그런데 제대로 지키지 못하고 있다. 취미는 별로 없다.

 

이 교수는 고려대 수학과를 졸업하고 동 대학원에서 석사와 암호학으로 이학박사 학위를 받았다. 한국전자통신연구원(ETRI) 선임연구원을 거쳐 1999년부터 고려대 교수로 재직하고 있다. 국내 디지털포렌식 권위자로, 2010년 대한민국 사이버치안대상을 받았다. 현재 고려대 정보보호대학원 부원장, 고려대 디지털포렌식연구센터장, 한국디지털포렌식학회장직을 맡고 있다.