인터넷 서점 예스24는 이달 9일 해킹 공격으로 전산 시스템이 마비되면서 홈페이지와 앱이 나흘간 먹통이 됐다. 도서 주문과 열람, 콘서트 티켓 예매 등이 일제히 중단되면서 가입자 약 2000만명이 큰 불편을 겪었고, 예스24는 사건 발생 닷새 만에 겨우 복구를 시작했다. 예스24가 당한 해킹 공격은 최근 전 세계적으로 기승을 부리고 있는 ‘랜섬웨어’의 대표 사례다. 중요 정보를 볼모로 금전적 이득을 노리는 랜섬웨어 공격이 갈수록 거세지고 있어 기업들의 주의가 요구된다.
랜섬웨어는 몸값(ransom)과 소프트웨어(software)의 합성어로, 개인이나 기업의 컴퓨터·서버를 해킹하거나 데이터를 암호화한 뒤 복구를 대가로 금전을 요구하는 악성코드다. 랜섬웨어 공격의 목적은 ‘돈’이다. 일반적인 해킹은 정보를 빼가거나 실력을 과시하는 데 중점을 두지만, 랜섬웨어는 사용자가 정보를 사용하지 못하도록 잠근 뒤 풀어주는 대가로 금전을 요구한다. 해커들은 훔친 정보나 기밀 사항을 유출하겠다고 협박하는 식으로 협상력을 높이기도 한다. 기업이나 기관이 요구한 금액을 지불하지 않으면 민감한 정보를 다크웹에 올려 판매한다.
25일 보안 업계에 따르면 랜섬웨어 공격은 전 세계적으로 증가하는 추세이며, 공격 수법도 더 교묘해지고 고도화되고 있다. SK쉴더스의 랜섬웨어 보고서를 보면 올해 1분기 전 세계 랜섬웨어 피해 건수는 총 2575건으로 지난해 같은 기간(1157건) 대비 122% 증가했다. 전 분기(1899건)와 비교하면 35% 늘었다.
SK쉴더스는 “지난달에만 총 484건의 랜섬웨어 피해가 발생했다”며 “최근 랜섬웨어는 소스코드 유출로 인해 새로운 변종이 빠르게 생겨나고, 공격 수법도 예측하기 어려운 방향으로 바뀌고 있다”고 했다.
첫 랜섬웨어 공격은 1989년에 등장했지만, 랜섬웨어가 사이버 범죄 분야에서 골칫거리로 부상하기 시작한 시점은 비트코인이 등장한 2009년 이후다. 예전에는 금전을 요구하더라도 계좌이체를 하거나 현금을 인출하는 과정에서 정부 추적을 피하기가 어려웠지만, 이제는 비트코인 같은 암호화폐로 몸값을 지불하라고 하기 때문에 해커들이 신원을 숨기고 활동하기 쉬워졌다.
블룸버그는 “랜섬웨어는 해커들 입장에서 비교적 리스크는 낮고 쉽게 수익을 얻을 수 있다는 점에서 매력적”이라며 “최근 몇 년간 더 정교해진 악성코드와 신기술이 랜섬웨어의 확산을 부추겼다”고 전했다.
랜섬웨어는 사이버 범죄 중 성장 속도가 가장 빠르다. 보안 기업 사이버시큐리티벤처스에 따르면 전 세계 랜섬웨어 피해액은 올해 570억달러(약 77조원)에서 2031년 2750억달러(약 373조원)로 약 5배 커질 전망이다. 사이버시큐리티벤처스는 “해커들이 악성코드와 협박 수법을 발전시키면서 현재 2초마다 랜섬웨어 공격이 발생하고 있다”고 했다.
국내에서는 올해 1~4월 기업·기관을 대상으로 이뤄진 랜섬웨어 공격이 최소 9건에 달했다. 예스24 외에도 지난 1월 랜섬웨어 그룹 인텔브로커가 환경부의 소스코드를 탈취해 다크웹 브리치포럼에 판매한다는 글을 올렸고, 가정용 전기기기 제조사인 신성델타테크가 또 다른 랜섬웨어 그룹 링스의 공격을 받았다. 실제 해커들은 기업 내 기밀 문서나 고객사 정보, 계약서 등 돈 되는 데이터가 많은 제조업을 주로 노리는 것으로 나타났다. 지난달 랜섬웨어 공격 추이만 봐도 전체 랜섬웨어 공격의 24%인 114건은 제조업을 대상으로 이뤄졌다.
최근에는 AI 기반 랜섬웨어가 새롭게 부상하고 있는 데다, 서비스형 랜섬웨어(RaaS)의 형태로 사업화되면서 피해 규모가 더 커질 것이란 우려가 나온다.
랜섬웨어 공격은 일반적으로 피싱 메일이나 문자를 활용해 사용자의 컴퓨터나 서버로의 진입을 노리는데, 생성형 AI를 활용하면 손쉽고 빠르게 피싱 메일을 대량으로 생산해낼 수 있고 탐지를 피하기도 수월해진다. 지난해 말 등장한 펑크섹(FunkSec) 그룹은 거대언어모델(LLM)을 활용해 탐지 회피 능력이 뛰어난 랜섬웨어를 유포했다.
랜섬웨어가 RaaS라는 사업 모델로 진화하고 있다는 점도 문제다. RaaS는 비전문가도 돈만 내면 랜섬웨어 공격을 할 수 있는 서비스다. 보안 기업 카스퍼스키는 “RaaS 플랫폼 랜섬허브는 비전문가도 고급 랜섬웨어 공격을 수행할 수 있도록 악성코드, 기술지원, 수익 공유 시스템을 제공하고 있다”며 “이는 새로운 랜섬웨어 그룹의 출현을 가속화시키고 있다”고 있다.
국내에서는 기업들이 피해 사실을 숨기는 경향이 크다는 게 보안 업계의 설명이다. 한 업계 관계자는 “랜섬웨어 공격을 신고하지 않고 조용히 돈을 지불한 뒤 사업을 정상화시키는 방법을 택하는 기업이 늘고 있다”며 통계에 나타나는 것보다 실제 공격 횟수가 더 많을 것이라고 했다. 예스24의 경우에도 최수진 국민의힘 의원이 랜섬웨어 공격이라고 밝히면서 피해 사실이 알려졌다.
전문가들은 랜섬웨어는 공격을 받은 뒤엔 별다른 해결책이 없기 때문에 사전에 예방하는 게 중요하다고 강조한다. 이를 위해 기업들이 소프트웨어 업데이트와 백업 시스템 등 보안에 투자해야 한다고 조언했다. 예스24는 이미 마이크로소프트가 기술 지원을 종료한 ‘윈도 서버 2012′ 등 옛 운영체제(OS)를 활용하고 있던 것으로 확인됐다.
염흥렬 순천향대 정보보호학과 명예교수는 “랜섬웨어 공격을 받아 감염이 됐더라도 미리 주요 파일을 별도 백업해두면 랜섬웨어 조직들이 몸값을 요구하더라도 협상에서 우위를 점할 수 있다”며 “랜섬웨어 조직들은 돈이 목적이기 때문에 카르텔이 구성되어 있고 그 규모도 점점 커지고 있다”고 말했다.