네덜란드 경찰과 유로폴, 인텔 시큐리티와 카스퍼스키랩이 참여한 'No More Ransom'이라는 프로젝트가 출범하며 사법 기관과 민간 기업이 공조하여 랜섬웨어에 대응하려는 새로운 시도가 시작되었다.
 
No More Ransom 프로젝트는 대중에게 랜섬웨어의 위험성을 알리는 동시에 범죄자들에게 대가를 지불하지 않고도 피해자들의 데이터를 복구하려는 목적으로 만들어진 온라인 웹사이트이다.
 
랜섬웨어 공격은 개인 사용자의 장치를 대상으로 이루어질 때가 많지만 기업 및 정부 네트워크까지도 피해를 입히고 있는 실정이며 피해자 수는 놀라운 속도로 늘어나고 있다. 카스퍼스키랩의 집계에 따르면 암호화 랜섬웨어 피해자 수는 2014년-2015년 131,000명에서 2015년-2016년 718,000명으로 50% 증가되었다.
 
No More Ransom 사이트에서는 랜섬웨어의 정의와 동작 원리 그리고 예방책에 대한 정보를 찾을 수 있다. 랜섬웨어를 예방하는 데 가장 중요한 것은 경각심과 보안 의식이다. 모든 랜섬웨어를 무력화할 수 있는 복호화 프로그램은 없기 때문이다. 간단한 사이버 안전 수칙에 따라 신중하게 인터넷을 이용하면 사전에 랜섬웨어 감염을 예방할 수가 있다.
 
No More Ransom 프로젝트는 범죄자에 의해 암호화된 일부 데이터를 복구할 수 있는 도구도 제공한다. 포털 사이트는 아직 초기 단계지만 여러 종류의 랜섬웨어 악성 코드에 대비한 4개의 복호화 도구를 갖추고 있다. 그 중에는 2016년 6월에 등장한 Shade의 변종과 같은 최신 악성 코드에 대한 복호화 도구도 포함돼 있다.
 
Shade는 2014년 말에 출몰한 랜섬웨어로써 악성 웹사이트와 감염된 이메일 첨부파일을 통해 유포된다. 사용자의 시스템에 침투한 후 저장되어 있는 파일을 암호화한 뒤 대가를 요구하는 메시지와 함께 그 절차를 안내하는 .txt 파일을 생성하는 방식이다. 강력한 AES-256 알고리즘을 사용하는 Shade는 2개의 256비트 AES 키를 무작위로 생성하여 하나는 파일의 내용을, 다른 하나는 파일명을 암호화한다. 그리고 암호화된 각 파일을 복구하는 데에는 파일마다 고유한 키가 필요하다.
 
여러 기관과 기업이 긴밀하게 협력하며 정보를 공유한 덕분에 범죄자들이 복호화 키를 저장하기 위해 이용하던 Shade의 C&C 서버를 압수하는 성과를 거뒀고 복호화 키가 카스퍼스키랩과 인텔 시큐리티에 전달되었다. 그 결과 범죄자들에게 대가를 지불하지 않고도 데이터를 회수할 수 있는 전용 복호화 프로그램을 현재 No More Ransom 웹사이트에서 제공할 수 있게 된 것이다. 이 도구에 포함된 복호화 키는 160,000개 이상이다.
 
No More Ransom 프로젝트는 공공 기관과 민간 기업이 힘을 합친 비영리성 프로젝트로 계획되었다. 사이버 범죄자들이 일반적인 랜섬웨어를 기반으로 변종을 개발하는 등 랜섬웨어의 성격이 변화하고 있는 만큼 새로운 보안 파트너에게도 문이 열려 있다.
 
네덜란드 경찰청 국립범죄수사국의 국장인 Wilbert Paulissen은 “사이버 범죄, 특히 랜섬웨어에 맞서는 것은 네덜란드 경찰만의 힘으로는 역부족이다. 이는 경찰과 법무부, 유로폴, ICT 회사가 모두 책임 의식을 갖고 힘을 합쳐야 하는 문제이다. 그렇기 때문에 경찰과 카스퍼스키랩, 인텔 시큐리티의 공조를 진심으로 기쁘게 생각한다. 각자의 힘을 합쳐 범죄자들의 사기 계획을 막고 거액의 돈을 지불하지 않고도 파일을 정당한 소유자들에게 돌려주기 위해 최선을 다할 것이다”라고 말했다.
 
카스퍼스키랩은 “현재 암호화 랜섬웨어의 가장 큰 문제점은 사용자들이 귀중한 데이터를 돌려받기 위해 범죄자들에게 돈을 지불할 용의가 있다는 것이다. 이 때문에 지하 경제가 활성화되고 그 결과로 새로운 범죄자들이 더 나타나며 공격도 증가하는 악순환이 발생한다. 상황을 바꿀 수 있는 방법은 오직 한 가지, 랜섬웨어에 맞서 싸우기 위해 힘을 모으는 것뿐이다. 복호화 도구의 등장은 그 여정의 첫 걸음이라고 할 수 있다”라고 말했다.
 
인텔 시큐리티의 EMEA 최고기술책임자인 Raj Samani는 “No More Ransome 프로젝트는 사이버 범죄와의 싸움에 있어서 기관과 보안 기업의 공조가 얼마나 중요한지 보여준다. 이번 국제적인 합동 프로젝트를 통해 정보 공유와 소비자 교육, 용의자 체포를 넘어서 실제로 사용자들이 입은 피해를 복구할 수 있기를 기대하고 있다. 랜섬웨어를 무력화하여 범죄자들에게 대가를 지불하지 않고도 사용자들이 직접 행동에 나설 수 있다는 것을 입증하고 올바른 행동 지침을 유도할 수 있다”라고 말했다.
 
사법 기관에 랜섬웨어를 신고하면 당국에서 전체적인 윤곽을 파악하고 위험을 완화하고 막을 가능성이 높아진다. No More Ransom 웹사이트는 유로폴의 국가 신고 체제와 직접 연계하여 피해자가 범죄를 신고할 수 있도록 도움을 제공한다.
 
만약 랜섬웨어에 감염되더라도 대가를 지불해서는 안된다. 대가를 지불하는 것은 결국 사이버 범죄자를 부추기는 결과를 낳으며 무엇보다도 대가를 건넨다고 해서 암호화된 데이터가 100% 복구된다는 보장도 없기 때문이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com