네덜란드 경찰과 유로폴, 인텔 시큐리티와 카스퍼스키랩이 참여한 ‘No More Ransom’이라는 프로젝트가 출범하며 사법 기관과 민간 기업이 공조해 랜섬웨어에 대응하려는 새로운 시도가 시작됐다.
No More Ransom 프로젝트는 대중에게 랜섬웨어의 위험성을 알리는 동시에 범죄자들에게 대가를 지불하지 않고도 피해자들의 데이터를 복구하려는 목적으로 만들어진 온라인 웹사이트다.
랜섬웨어는 공격 대상의 컴퓨터를 잠그거나 데이터를 암호화한 다음 피해를 입은 장치나 파일에 대한 접근권을 되찾는 대가로 금전을 요구하는 악성 코드의 일종이다. EU 회원국의 약 2/3가 랜섬웨어 공격에 대한 수사를 진행하고 있는 현실에서 랜섬웨어는 EU 사법 기관의 가장 큰 위협이라고 할 수 있다.
랜섬웨어 공격은 개인 사용자의 장치를 대상으로 이뤄질 때가 많지만 기업 및 정부 네트워크까지도 피해를 입히고 있는 실정이며 피해자 수는 놀라운 속도로 늘어나고 있다. 카스퍼스키랩의 집계에 따르면 암호화 랜섬웨어 피해자 수는 2014년~2015년 13만1000명에서 2015년~2016년 71만8000명으로 50% 증가됐다.
No More Ransom의 설립 취지는 랜섬웨어 피해자에게 도움이 되는 온라인 정보를 제공하는 것이다. 이 사이트에서는 랜섬웨어의 정의와 동작 원리 그리고 예방책에 대한 정보를 찾을 수 있다. 랜섬웨어를 예방하는 데 가장 중요한 것은 경각심과 보안 의식이다. 모든 랜섬웨어를 무력화할 수 있는 복호화 프로그램은 없기 때문. 한 번 감염되면 데이터를 영원히 되찾을 수 없을 가능성이 높다. 간단한 사이버 안전 수칙에 따라 신중하게 인터넷을 이용하면 사전에 랜섬웨어 감염을 예방할 수가 있다.
No More Ransom 프로젝트는 범죄자에 의해 암호화된 일부 데이터를 복구할 수 있는 도구도 제공한다. 포털 사이트는 아직 초기 단계지만 여러 종류의 랜섬웨어 악성 코드에 대비한 4개의 복호화 도구를 갖추고 있다. 그 중에는 2016년 6월에 등장한 Shade의 변종과 같은 최신 악성 코드에 대한 복호화 도구도 포함된다.
Shade는 2014년 말에 출몰한 랜섬웨어로써 악성 웹사이트와 감염된 이메일 첨부파일을 통해 유포된다. 사용자의 시스템에 침투한 후 저장돼 있는 파일을 암호화한 뒤 대가를 요구하는 메시지와 함께 그 절차를 안내하는 .txt 파일을 생성하는 방식이다. 강력한 AES-256 알고리즘을 사용하는 Shade는 2개의 256비트 AES 키를 무작위로 생성해 하나는 파일의 내용을 다른 하나는 파일명을 암호화한다. 그리고 암호화된 각 파일을 복구하는 데에는 파일마다 고유한 키가 필요하다.
2014년부터 카스퍼스키랩과 인텔 시큐리티가 차단한 Shade 랜섬웨어의 공격 시도는 2만7000건 이상에 이른다. 감염 시도가 가장 잦은 지역은 러시아, 우크라이나, 독일, 오스트리아, 카자흐스탄입니다. 프랑스, 체코, 이탈리아, 미국에서도 Shade의 활동이 발견됐다.
여러 기관과 기업이 긴밀하게 협력하며 정보를 공유한 덕분에 범죄자들이 복호화 키를 저장하기 위해 이용하던 Shade의 C&C 서버를 압수하는 성과를 거뒀고 복호화 키가 카스퍼스키랩과 인텔 시큐리티에 전달됐다. 그 결과 범죄자들에게 대가를 지불하지 않고도 데이터를 회수할 수 있는 전용 복호화 프로그램을 현재 No More Ransom 웹사이트에서 제공할 수 있게 된 것다. 이 도구에 포함된 복호화 키는 16만개 이상이다.
이 프로젝트는 공공 기관과 민간 기업이 힘을 합친 비영리성 프로젝트로 계획됐다. 사이버 범죄자들이 일반적인 랜섬웨어를 기반으로 변종을 개발하는 등 랜섬웨어의 성격이 변화하고 있는 만큼 새로운 보안 파트너에게도 문이 열려 있다.
카스퍼스키랩은 “재 암호화 랜섬웨어의 가장 큰 문제점은 사용자들이 귀중한 데이터를 돌려받기 위해 범죄자들에게 돈을 지불할 용의가 있다는 것이다. 이 때문에 지하 경제가 활성화되고 그 결과로 새로운 범죄자들이 더 나타나며 공격도 증가하는 악순환이 발생한자상황을 바꿀 수 있는 방법은 오직 한 가지, 랜섬웨어에 맞서 싸우기 위해 힘을 모으는 것뿐. 복호화 도구의 등장은 그 여정의 첫 걸음이라고 할 수 있다. 우리는 보안 회사들과 사법 기관들이 랜섬웨어와의 싸움에 동참해이 프로젝트가 확장되기를 기대하고 있다”고 말했다.
한편 사법 기관에 랜섬웨어를 신고하면 당국에서 전체적인 윤곽을 파악하고 위험을 완화하고 막을 가능성이 높아진다. No More Ransom 웹사이트는 유로폴의 국가 신고 체제와 직접 연계하여 피해자가 범죄를 신고할 수 있도록 도움을 제공한다.
만약 랜섬웨어에 감염되더라도 대가를 지불해서는 안된다. 대가를 지불하는 것은 결국 사이버 범죄자를 부추기는 결과를 낳으며 무엇보다도 대가를 건넨다고 해서 암호화된 데이터가 100% 복구된다는 보장도 없기 때문이다.
