정말 강력한 건 일부, 대부분은 겁만 주는 협박용

일반인에게도 바른 사실 알리고 랜섬웨어 퇴치에 참여토록 해야

[보안뉴스 문가용] 랜섬웨어가 갈수록 늘어나고 있고 발전하고 있다는 기사가 많다. 하지만 이는 약간 과장된 감이 있다는 의견이 제시됐다. 라이트라인(Lastline)의 보안전문가인 엥긴 커다(Engin Kirda)는 “랜섬웨어란 말만 들어도 패닉 반응을 일으키게끔 뉴스에서 보도하고 있는데요, 아직 세간에 돌아다니고 있는 랜덤웨어의 수준은 그렇게까지 위협적이지 않습니다.”

랜섬웨어가 할 수 있는 것과 할 수 없는 것만 분명히 알면 공포감이 줄어들 수 있다는 것. “물론 대단히 똑똑하고 위협적인 랜섬웨어가 없는 건 아닙니다. 이런 게 하나 나타나면 포렌식 기업들이 긴장에 빠집니다. 그러니 경찰서에서 500달러를 랜섬웨어 제작자에게 바치면서 암호를 풀어달라고 하기도 했겠죠. FBI나 정부에서도 랜섬웨어를 해제하지 못했고요.”

대중들이 느끼는 공포에는 삭제형 멀웨어의 출현도 일조했다는 게 커다의 의견이다. “소니 픽처스 사태가 대중에게도 알려지면서 ‘하드웨어 정보를 모두 삭제하는 공격도 존재한다’는 게 뇌리에 박혔던 것이죠. 전문가가 아니라면 이를 랜섬웨어의 기본 기능으로 인식하기 쉽습니다. 랜섬웨어나 멀웨어라는 말만 들으면 ‘내 자료가 다 지워질 위기에 처했다’는 생각부터 드는 것이죠.”

그렇다면 랜섬웨어가 생각보다 그리 무서운 존재가 아니라고 말하는 건 어떤 이유에서일까? “일단 표적형 공격이 아닌 경우가 대부분입니다. 랜섬웨어 공격을 납치에 비유해서 표현하는 경우가 많은데, 한 번에 수백에서 수천 명을 납치하는 범죄는 존재하지 않죠. 하지만 랜섬웨어는 한 번에 대량의 피해자들을 발생시킵니다. 불특정 다수를 공격하는 것이죠. 그만큼 개인 한 사람에게 집중할 수 없습니다. 한 사람 한 사람 신경 쓰며 지켜보지 않는다는 것이죠.”

또한 피해자들이 일반인이라는 것 역시 랜섬웨어가 대단치 않다는 걸 방증한다는 게 그의 주장이다. “피해자들이 대부분 정보보안 계통 종사자가 아니라 일반인이라는 건 랜섬웨어가 ‘일반인에게 통용될 정도의 수준’으로 만들어진다는 겁니다.”

“랜섬웨어의 페이로드는 생각만큼 고차원적인 기술력을 가지고 있지 않은 게 대부분입니다. FBI가 쩔쩔매면서 ‘미국 시민들과 기업들에게 가해진 가장 최신의 악성 기술’로 판명한 크립토월(CryptoWall)조차 여러 개 서브카테고리로 분류할 수 있는데 그게 전부 다 강력한 건 아닙니다. 오히려 그렇지 않은, 약한 변종들이 더 많죠. 같은 크립토월이란 이름을 가졌는데도요.”

커다에 따르면 랜섬웨어 대부분 커널 레벨에 가까이도 못 간다. 평범한 애플리케이션 층위에 머무는 것 뿐이다. 암호화 기능을 사용하고 있을지는 모르나 그 알고리즘과 적용법이 낙후된 경우가 많다. “암호화라고 다 강력하지 않습니다. 사용하기에 따라 위력이 달라지기도 하고요. 암호화라는 말에 너무 휘둘리지 않아도 됩니다.”

심지어 어떤 랜섬웨어는 암호화도 하지 않은 채 얕은 눈속임 기능만 가지고 있다는 것. “지운다고 겁만 주지 실제로는 지울 기능을 가지고 있지 않은 랜섬웨어가 태반입니다. 랜섬웨어는 결국 ‘허세’로 무장된 멀웨어라고 보면 딱이라고 봅니다. 다만 일반인의 눈엔 굉장히 무섭게 보일 수밖에 없겠죠. 그러니 피해자가 되는 거고요.”

커다는 행동 양식에 기반을 둔 감지 및 인증기능과 파일의 변화를 모니터링할 수 있는 방법 등으로 랜섬웨어를 퇴치할 수 있다고 주장한다. “아직 일반 대중들은커녕 주요 기업들도 동입하지 않은 새로운 기술이라는 단점이 있습니다만, 이것이 대중화되기 시작하면 허수아비 같은 랜섬웨어들은 살아남기 힘들 겁니다. 중요한 건 정보보안 업계에서 일어나는 일들을 일반 대중들도 제대로 알아야 하는 때가 되었다는 겁니다. 특히나 피해자가 일반 대중들에서 주로 발생하는 사건이라면 더더욱 그렇죠.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>