2017.06.07 AhnLab

워너크립터(일명 워너크라이) 랜섬웨어가 언론 보도 등을 통해 유명세(?)를 떨친 덕분에 이제 ‘랜섬웨어’를 못 들어본 사람이 거의 없을 정도다. 이런 와중에 뜻밖의 질문이 도착했다.

“랜섬웨어에 걸리면 어떻게 되나요? 바이러스, 그런 것처럼 어느 날 갑자기 증상이 나타나나요?”

랜섬웨어(Ransomware)라는 쉽지 않은 용어는 상당히 익숙해졌지만 여전히 랜섬웨어에 감염되면 어떤 현상이 나타나는지는 잘 알려지지 않은 것으로 보인다. 지금부터 실제 피해자의 생생한 ‘랜섬웨어 감염 체험기’를 소개한다.

이 글은 실제 피해 사례를 재구성한 팩션입니다.

서울시 동대문구에 거주하는 30대 초반의 안전해(가명) 씨. 여느 때와 같았던 어느 주말 아침의 일이다. 황금 같은 토요일이 건만 친구 결혼식이, 그것도 애매한 시간에 가깝지도 않은 장소라 달콤한 늦잠을 포기하고 아침 일찍부터 서둘러야 했다. 한참 정신없이 외출 준비를 하고 있는데, 갑자기 휴대전화가 울렸다. 액정에 나타난 이름을 보니 친구였다. 평소 같으면 메신저로 얘기했을 텐데 무슨 급한 일인가 싶어 얼른 전화를 받았다.

“급해서 그러는데, 내가 지금 윈도우 8 쓰고 있거든? 근데 메트로 UI가 도저히 적응이 안돼. 누가 그러는데, 윈8을 윈7 UI처럼 세팅해주는 유틸리티가 있다며? 그런데 난 도저히 못 찾겠다. 미안하지만 네가 좀 찾아서 다운로드해주면 안될까? 내가 진짜, 진짜 너무 급해서 그래.”

거절 못하는 성격을 탓하며 전화를 끊고 한숨을 내쉬며 컴퓨터 전원을 켰다. 문득 집에서 컴퓨터를 하는 건 정말 오랜만이라는 생각이 들었다. IT 회사에 다니고 있는 탓에 퇴근하고 집에 오면 컴퓨터는 쳐다보고 싶지 않기도 하고, 웬만한 건 스마트폰을 이용하기 때문이다.

아니나 다를까, 컴퓨터를 켜자마자 윈도우 보안 메시지부터 어도비, 백신 등이 앞다퉈 ‘마지막 업데이트가 몇 개월 전이었다’, ‘널 기다리고 있는 업데이트가 몇 건 있다’는 알림 말풍선을 띄우기 시작했다. 마치 주인이 언제 다시 나타날지 모르니 전원이 켜지고 인터넷 연결된 지금이 마지막 기회라는 듯이 사정없이 달려들었다. 평소 같으면 귀찮더라도 업데이트를 할 수도 있었겠지만, 이날은 시간도 없고 마음이 급해 엑스(x)를 눌러 모든 창을 닫아버렸다. 그리고는 바로 인터넷 브라우저를 클릭하여 포털 사이트에서 검색을 시작했다.

금세 해당 유틸리티를 무료로 배포하는 사이트와 다수의 블로그들이 나타났다. 회원가입이나 로그인을 해야 하는 번거로움을 피해 블로그를 선택했다. 블로그 운영자가 본인의 신상정보를 어느 정도 노출하고 꾸준히 운영하는 블로그 같다. 나름 파워 블로거인지 블로그 곳곳에 광고도 제법 붙어 있다. 잠깐 댓글들을 살펴보니 ‘잘 받아 갑니다’ ‘너무 좋네요’ 등의 호의적인 댓글들만 보인다. 이상한 파일이나 가짜 파일이 있는 블로그라면 댓글에 욕이 난무하지 않던가.

마지막 단계인 댓글 검증까지 마친 후 스스로 제법 블로그를 고르는 선구안이 있다는 약간의 뿌듯함마저 느끼며 파일을 다운로드했다. 평소라면 무료 유틸리티를, 그것도 잘 알지 못하는 블로그에서 다운로드하지 않았을 텐데, 이 날이 바로 1년 중 손에 꼽을만한 그런 날이었다.

나름 꼼꼼한 성격 탓에 제대로 설치되는지 확인해보기 위해 다운로드한 파일의 압축을 해제한 후 설치 파일을 더블 클릭했다. 설치 안내 창이 나타나는 걸 보니 잘 찾았다 싶다. 얼른 친구에게 메일을 보내기 위해 인터넷 창을 열었다. 그런데, 뭔가 평소와는 다른, 낯선 무언가를 본 것 같았다. 순간 왠지 모를 꺼림직한 기분이 뒷덜미를 스쳤다.

인터넷 창을 내리자 눈앞에 너무나 낯선 바탕화면이 나타났다. 파란색으로 변해버린 화면 위로 평소 친하지 않은 영어들이 잔뜩 쓰여있었다. 급하면 통한다더니, ‘내가 이렇게 영어를 잘 하는 사람이었나’ 싶을 정도로 영문 메시지가 순식간에 번역되어 이해가 완료되었다.

‘지금 네 컴퓨터에 일어난 심각한 일을 얘기해줄게. 네 파일들이 암호화됐어. 복호화하고 싶다면 비트코인을 보내렴. 얼른 보내는 게 좋을걸

▴ 나부커 랜섬웨어 감염 화면(사진 안랩)

이것이 말로만 듣던 랜섬웨어란 놈인가! 잠시 후 정신을 차리고 황급히 마우스를 움직여봤지만 파란색과 영어에 점령당한 PC는 이제 더 이상 안전해씨의 것이 아니었다. 언젠가 업데이트하겠다는 다짐만 되풀이하며 폴더 깊숙이 숨겨둔 이력서 파일도, 최근 몇 년간 찍고 옮겨둔 수많은 사진들도 모두 암호화되었으리라는 생각이 들자 아주 강렬한 허망함이 덮쳤다. 눈물도 나지 않았다.

안전해씨는 어디선가 들었던 기억을 더듬어 인터넷 연결부터 끊었다. 곧바로 PC에 늘 꽂아둔 채 방치했던 USB도 분리했다. PC 전원도 껐다. ‘전원이라도 끄면 암호화가 중단되고 몇 개 파일은 건질 수 있지 않을까?’하는 바람 때문이었다.

까맣게 텅 빈 모니터 화면을 마주하고서야 생각나는 것이 있었다. 랜섬웨어라는 놈들은 보통 암호화라는 거사(?)를 치른 후 자폭하여 스스로의 흔적을 없앤다는 것. 그래서 사용자가 랜섬웨어에 감염됐다는 걸 알 때쯤이면 이미 암호화는 다 끝난 후라는 것. 심지어 어떤 랜섬웨어는 감염 후 PC 전원을 끄면 파일을 아예 전부 삭제해버리기도 한다고 했던 것 같다.

다른 것도 기억났다. 랜섬웨어는 공격자가 복호화 키를 주지 않는 한 암호화된 파일을 복구할 방법이 없다는 것. 하지만 안전해씨는 이 끔찍한 사실을 순순히 받아들일 수 없었다. 왠지 알려지지 않은 어둠의(?) 복구 비법 같은 게 있을 것이라는 생각이 들었다. 이 생각은 근거 없는 믿음이 되어, 또 근거 없는 확신이 되어 안전해씨는 스마트폰을 집어 들고 마구잡이로 검색하기 시작했다.

가장 먼저 눈길을 끈 것은 “랜섬웨어 걸렸을 때”라는 글자였다. 또 블로그라니 살짝 걱정됐지만 일단 들어가 보니 보안 컨퍼런스에서 ‘화이트 해커(보안 연구원)’가 발표한 내용이라며 소개하고 있었다.

랜섬웨어에 걸렸을 때 딱 두 가지만 기억하라!
첫째, 암호화된 파일이 중요한 파일인가, 아닌가
둘째, 중요한 파일이라면 망설이지 말고 해커에게 돈을 보내라!
덧. 돈을 보냈는데도 암호화를 풀어주지 않는다면, 그 해커는 비즈니스 마인드가 없는 X이다. ​

‘이게 무슨!’이라는 감정도 잠시, 조언(?)대로 생각해봤다. 암호화된 파일 중에 중요한 것이 꽤 있다. 그럼 돈을 보내야 하나? 1비트코인이 얼마더라? 곧바로 검색해보니 1비트코인이 무려 400만 원 가까이하는 것이 아닌가?! 아무리 파일들이 중요하다지만 그 정도로 투자할 금전적 여유가 전혀 없다.

다시 검색에 몰입했다. 랜섬웨어 감염 파일 복구하는 법. 100% 복구를 확신하는 백신에 대한 소개와 관련 업체 광고가 쏟아졌다. 너무 많은 업체들이 보이니 오히려 미덥지 못했다. 혹시나 싶어 자주 가던 커뮤니티 사이트에 들어가 ‘랜섬웨어 복구’와 관련된 글을 찾아봤다. 의외로 많은 게시글이 보였다. 그중에서 복구 업체에 관한 게시믈 몇 개만 급히 읽어봤더니, ‘알고 보니 결국은 비트코인 구매 대행업체였다’, ‘사후 청구되는 비용이 결국 비트코인 구매 가격에 수수료까지, 이럴 거면 그냥 내가 보냈지’ 또는 ‘복구도 못하면서 자기네 프로그램만 설치하는 PUP다’라는 내용이었다.

허무하다. 비트코인을 구매할 금전적 여유도 없으니 복구는 포기해야 하나. 이제 난 뭘 할 수 있을까? 자포자기하는 지경에 이르자 안전해씨는 오히려 마음이 차분해졌다. 그리고는 문득 매주 시큐리티레터를 보내주는 안랩이 생각났다. 별다른 기대 없이, 그래도 혹시나 싶어 안랩 홈페이지에 들어갔다. 안랩 홈페이지의 인기 검색어 1위가 ‘랜섬웨어’다. ‘나 같은 사람이 많구나’, 괜스레 눈시울이 붉어졌지만, 다시 마음을 가다듬고 보니 ‘랜섬웨어 보안센터’란 것이 눈에 들어왔다.

클릭해 들어가니 랜섬웨어 관련 정보가 많았다. 랜섬웨어가 이렇게 많은 종류가 있는지 처음 알았다. 그때 번쩍이듯 눈앞에 보이는 글자가 있었다. 복구 툴! 안내 문구를 보니 일부 랜섬웨어에 한하여 복구 툴을 제공하고 있단다. 마음 깊은 곳에서 가냘픈 희망이 샘솟는 것을 느끼며 떨리는 시선을 집중해 혹시 그 ‘일부’ 랜섬웨어에 해당되는 것인지 자세히 살펴봤다.

낯익은 글자가 보였다. 파란색 화면 위에 쓰여있던 영어 단어 중에 Nabucur 비슷한 것이 있었던 것 같다. 나부커(Nabucur)라고 읽는 이것이 안전해씨의 PC를 감염시킨 주범이었던 것이다! 기적과도 같은 순간이었다. 복구 툴이 복구 가능한 랜섬웨어 중 하나가 나부커 랜섬웨어라는 것이라는 것이 아닌가.

어린 시절 근처 보신탕 집에서 탈출한 뱀이 몽둥이 들고 쫓아오던 장정들을 숨 막히게 따돌리던 것을 보았는데, 사지에서 살아 돌아간 그때의 뱀 심정이 이랬을까? 안전해씨는 떨리는 마음으로 PC를 다시 켠 후, 파란색으로 뒤덮인 화면을 애써 외면하며 바탕화면 하단의 인터넷 브라우저 단축 버튼을 가까스로 클릭하는데 성공했다. 그리고 번개 같은 손놀림으로 안랩 홈페이지에 접속하여 복구 툴을 다운로드해 실행했다. 그러자 곧 암호화되었던 원래 모습을 찾았다. 그렇게 유난히 길었던 주말 아침은 막이 내렸다.

랜섬웨어 감염, 그 후 이야기

랜섬웨어 감염의 악몽에서 벗어난 안전해씨에게 그때의 심정을 물었다.

“랜섬웨어가 어떤 것인지 알고 있다고 생각했는데, 막상 내가 그런 상황에 닥치니 너무 쉽게 자제력을 상실하고 엉뚱한 곳들을 전전하며 광인(狂人) 같은 시간을 보냈다”고 답했다. 그러면서 “이제는 영혼을 담아 이 글을 보는 모든 이에게 말하고 싶다. 각종 업데이트가 귀찮더라도 거르면 안 된다는 것, 반드시 안전한 경로를 통해 검증된 파일을 다운로드해야 한다는 것. 누구나 언제든 감염될 수 있다. 당신도 예외일 수 없다”고 덧붙였다.

폭풍 같은 시간이 지났으니 이제 침착하게 안전해씨의 피해 사건을 검토해보자. 결론부터 말하면, 안전해씨는 여러 면에서 상당히 운이 좋은 편이다.

우선, 안전해씨는 랜섬웨어에 대한 다소의 사전 지식이 있었던 터라 빠르게 상황을 파악하고 USB를 분리할 수 있었다. 대부분의 랜섬웨어는 모든 드라이브 내의 파일들을 암호화하기 때문이다. 즉, 감염이 의심되는 순간 외부 저장 장치나 공유 폴더 연결을 중단하는 것이 옳다. 안전해씨는 다행히 USB 내의 파일이 암호화되기 전에 USB 연결을 해제할 수 있었다. 물론, 평소 USB 사용 후 반드시 해제하는 것이 좋다.

무엇보다 안전해씨가 운이 좋았던 점은 복구 툴이 제공되는 랜섬웨어에 감염되었다는 것이다. 현재 매일 같이 수십여 개의 랜섬웨어가 등장하고 있지만, 복구 툴이 공개 또는 제공되는 랜섬웨어는 국내외 통틀어 10여 개 내외다.

안전해씨가 광고만 요란한 랜섬웨어 피해 복구 업체에 의존하기 보다 신뢰할 수 있는 보안 업체의 가이드를 살펴봤던 덕분에 불필요한 손실을 피할 수 있었다. 또, 일부 랜섬웨어는 감염되고 나면 인터넷 연결까지 차단하는 경우가 있다. 그러나 안전해씨의 PC를 감염시킨 랜섬웨어는 비트코인을 받아내기 위해 인터넷은 이용할 수 있게 해주는 친절함(?)을 보였다.

한 가지 위험했던 순간은 컴퓨터 전원을 꺼버렸던 부분이다. 랜섬웨어에 감염되어 놀란 마음에, 또는 피해를 막아보겠다고 무작정 컴퓨터 전원부터 꺼버려서는 안 된다. 일부 랜섬웨어는 사용자가 전원을 꺼버리거나 일정 시간이 지나면 파일을 아예 삭제해버리는 경우도 있기 때문이다. 안전해씨의 PC에 숨어든 랜섬웨어가 그런 종류가 아니었다는 것도 운이 좋았다 할 것이다.

▌소 잃고 외양간 고치려면 제대로 고치자

안전해씨의 경험을 교훈 삼아 반드시 기억해야 할 점이 있다. 소 잃고 외양간 고치는 것은 안타깝고 서글프지만, 이왕 고치려면 잘 고쳐야 한다는 것이다.

파란만장한 사건을 겪은 후 안전해씨는 가장 먼저 백신의 ‘(엔진)자동 업데이트’와 ‘실시간 검사’ 기능을 켜놓았다. 또 오랜만에 컴퓨터를 켤 때면 다소 시간이 걸리더라도 업데이트 알림창이 나타나면 외면하지 않고 ‘확인’을 눌러 성실하게 업데이트를 하고 있다. 안랩 랜섬웨어 보안 센터에서 주요 애플리케이션의 보안 취약점을 이용한 랜섬웨어가 늘고 있다는 소식을 접했기 때문이다. 또 겨우 살려낸 파일들은 외장하드에 백업해두었으며, 앞으로 규칙적으로 백업을 할 생각이라고 한다.