美 시청·공항·911도 먹통···'랜섬머니' 노린 해커들 공격

비트코인은 불법적 거래 수단으로 악용되기도 한다. [중앙포토]

미국 지자체들이 컴퓨터 파일을 잠가 버리는 악성코드 공격에 속수무책으로 당하고 있다. 시 행정을 마비시키고 대가를 요구하는 랜섬웨어(Ransomware) 공격이 올해 들어 미국에서만 20건이 넘는다. 무엇보다 국적 불명의 해커집단에 굴복하는 경우가 잇따르고 있어 이 같은 공격 시도를 더욱 부채질하고 있다.

조지아주 잭슨 카운티는 2019년 3월 랜섬웨어 공격으로 911 운영시스템을 제외한 거의 모든 서비스가 영향을 받았다. 데이터 관리가 얼마나 허술했는지 백업 시스템까지 공격자의 암호로 잠겼다.

카운티는 공격자에게 40만 달러를 주고 복호화 키(해제 암호)를 받아 서비스를 정상화했다. 시는 1년 전 애틀랜타 시가 스스로 복구에 나서면서 수천만 달러를 지출한 것을 봤고, 몇 달간 이어질지 모르는 서비스 중단을 고민하기보다 공격자의 요구를 받아들이는 쪽을 선택했다.

랜섬웨어인 '워너크라이'에 감염된 컴퓨터에 나타는 몸값(랜섬)을 요구 화면. [사진 이스트시큐리티]

조지아주의 애틀랜타 시(인구 600만 명)는 2018년 3월 랜섬웨어 공격을 받아 시청 홈페이지의 민원접수는 물론 공과금 납부가 막혔고, 국제공항의 무료 와이파이도 불통이 됐다.

공격자는 복호화 키를 주는 대신 5만 달러 상당의 비트코인을 요구했지만, 시는 이를 거부하고 자체 복구를 택했다. 그러나 260만 달러로 예상했던 복구비용이 1700만 달러로 늘어났고 정상화도 오래 걸렸다.

애틀란타 국제공항 [사진 AP=연합뉴스]

같은 달 메릴랜드주의 볼티모어 시도 랜섬웨어 공격을 받아 911 운영시스템이 먹통이 돼 하루 동안 수작업으로 업무를 봐야 했다. 2019년 5월 들어 한 달이나 계속된 랜섬웨어 공격에 도시 기능 전체가 마비되다시피 했다.

공공 망에 연결된 1만 대의 컴퓨터가 공격자의 암호에 걸려 병원ㆍ공항ㆍ현금 자동 인출기 등이 여전히 서비스 장애를 겪고 있다. 상수도ㆍ교통 등 요금결제시스템이 수작업 상태로 돌아가 시청은 공과금을 내기 위한 시민들로 북적였다. 시는 해커가 요구한 7만6000달러를 주지 않은 반대급부로 행정 서비스가 제 기능을 다 하지 못하고 있다. 복구비용은 1800만 달러로 추산됐다.

연방수사국(FBI)은 공격자와 협상을 하지 말 것을 권고하지만, 지자체들은 피해가 눈덩이처럼 불어나자 공격자에게 돈을 주는 쪽으로 기울고 있다. 며칠 전 미국 플로리다주의 리비에라 비치 시(인구 3만5000명)는 랜섬웨어에 걸린 파일을 복구해주는 대가로 60만 달러 상당의 비트코인을 지급하기로 결정했다.

2018년 11월 28일(현지시각) 로드 로젠스타인 미국 법무부 차관보는 3월에 발생했던 애틀란타 랜섬웨어 공격 관련 수사 결과를 발표하고 있다. [사진 EPA=연합뉴스]

리비에라 비치 시는 보안 전문가들을 동원해 온갖 방법으로 복구를 시도했다. 하지만 당장 행정업무가 마비된 데다 언제 해결될지도 몰라 결국 돈을 주는 것 외엔 별다른 선택지가 없었다.

시의 랜섬웨어 감염은 시청의 한 직원이 이메일을 열어 악성 링크를 클릭하면서부터다. 경찰ㆍ소방ㆍ응급신고 시스템이 감염돼 서비스가 멈췄다. 다량의 컴퓨터 파일이 암호로 묶이면서 매일 수백 통의 신고 전화와 납세 전표를 전부 수기로 처리하는 등 시 전체가 큰 혼란을 겪게 됐다.

보안기업 리코디드 퓨처에 의하면 2013년 이후 170여 곳의 카운티ㆍ시ㆍ주 정부가 랜섬웨어 공격을 받았다. 데이터를 지키기 위한 암호화 방식이 오히려 상대의 데이터를 암호화해 인질로 삼는 강력한 공격 도구가 된 것이다. 랜섬웨어를 이용한 공격자들은 이전과 비교해 훨씬 진보한 기술력을 갖추고 몸값을 지급하면 반드시 데이터를 복구해주는 비즈니스 이미지를 심어가고 있다.

암호 기술의 고도화로 한번 파일이 암호화되면 슈퍼컴퓨터를 동원해도 풀어내기가 쉽지 않다. 이러한 암호화 프로그램은 도처에 널려있고 누구나 쉽게 접근할 수 있다. 랜섬웨어의 메커니즘은 1999년 나왔지만, 공격자의 위치를 들키지 않으면서 요구사항을 전달하고 몸값도 추적당하지 않는 것이 난제였다. 하지만 이젠 추적을 따돌리는 우회 기술의 발전과 암호 화폐의 쓰임새가 급증하면서 랜섬웨어 공격이 대중화로 치닫고 있다.

비트코인이 1년 만에 다시 1000만원을 돌파했다. 27일 오전 암호화폐 거래소 빗썸은 비트코인이 1035만 7000원에 거래되고 있다고 밝혔다. 이는 지난 2018년 5월 10일 이후 1년 만이다. 이날 서울 강남구 업비트 라운지에 설치된 시세 전광판에 암호화폐인 비트코인 가격이 표시되어 있다. [사진 뉴스1]

익명성이 보장되는 토르(Tor) 사이트의 이용이 급격히 늘고 있다. 토르 네트워크 구조는 여러 암호화 단계로 이루어져 남이 들여다보기 어렵고 추적도 거의 불가능해 다크 웹에서 불법 거래를 원하는 사람들에게 아주 이상적인 환경을 제공한다. 악의적 해커는 여기에 암ㆍ복호화 키를 숨겨놓고 이 키를 절실히 필요로 하는 피해자들과 소통하는 채널로 활용한다.

암호 화폐는 랜섬웨어에 날개를 달아줬다. 블록체인 기술로 암호 화폐 거래내용이 모두 공개되기 때문에 이론상의 추적은 가능하지만 다른 암호 화폐로 수없이 교환ㆍ거래하거나 실제 통화로 바꿔버리면 더 이상의 추적은 불가능해진다. 비트코인이 ‘랜섬머니’가 된 것은 암호 화폐 거래가 활발히 이뤄지기 시작한 2010년부터다.

FBI는 2018년 9월 워너크라이 랜섬웨어 공격과 관련해 북한 주민 박진혁을 공개 수배했다. [사진 FBI=AP=연합뉴스]

다크 웹에서 랜섬웨어 공격용 도구와 정상화 도구를 묶은 패키지가 약 500달러에 거래되고, 랜섬웨어를 사지 않고 빌려 쓰는 서비스가 나와 있다. ‘서비스형 랜섬웨어(RaaS)’는 랜섬웨어를 직접 개발하지 않아도 누구든 클릭만으로 제작할 수 있도록 해준다. 이를 통해 얻은 이익은 고객(공격자)과 제작자가 일정 비율로 나눠 갖는다.

제작자가 공격 도구와 제반 기술을 지원하고, 고객은 도구를 활용해 공격한 후 피해자에게 지급기한을 정해 몸값을 요구하고 암호설정을 변경할 수 있다.

데이터가 모든 것인 시대에 접어들었다. 중요 데이터를 표적으로 한 랜섬웨어와 변종이 놀라운 속도로 증가하고 있다. 해킹 기술은 완전범죄에 다가가고 금전 거래의 추적은 불가능에 가까워지고 있다.

그렇다면 파일을 잠그고 푸는 열쇠는 갖다버린 후 돈만 요구한다면 어떻게 될까? 그것은 2017년 5월 전 세계에 엄청난 피해를 가져온 북한의 워너크라이(WannaCry) 랜섬웨어 사태에서 알 수 있듯이 랜섬웨어는 이미 강력한 사이버 무기로 진화했다. 5세대 이동 통신을 기반으로 ‘스마트 시티’를 조성하고 있는 우리에겐 더 큰 위협이 아닐 수 없다.

손영동 한양대학교 교수