컴퓨터 내의 정보를 암호화해 인질로 잡고 돈을 요구하는 랜섬웨어(ransomware)에 의해 암호화된 파일을 정말 복구할 수 있을까?
26일 네이버 등 포털 사이트에서 ‘랜섬웨어’를 검색하면 10여 업체가 ‘랜섬웨어 복구’를 내세우며 영업에 적극 나서고 있다. 하지만, 랜섬웨어는 대체적으로 RSA2048 암호화 알고리듬으로 암호화하기 때문에 현실적으로 ‘복호키’ 없이는 풀 수 없다는 게 전문가들의 의견이다.
이에 따라 인터넷상에서 랜섬웨어로 암호화된 파일을 풀 수 있다고 광고하는 업체들은 ‘과장광고’이거나 ‘중개’ 비즈니스를 하고 있다는 지적이 일고 있다.
인터넷상에서 ‘랜섬웨어 복구전문’을 표방하고 있는 한 업체의 직원은 “90% 이상 복구가 가능하다”며 “금액은 상태에 따라 다르지만, 일반적으로 80만 원부터 시작한다”라고 말했다. 이 직원은 또 ‘자체적으로 복구하는 것이냐’는 질문에 “자체적으로 복구하고 있다”라고 밝혔다.
또 다른 한 업체의 직원은 “테스트를 해 봐야 복구 여부를 알 수 있다”라며 “랜섬웨어의 경우 복구율은 낮지만, 지점마다 엔지니어들이 있어서 복구작업을 직접 진행하고 있다”라고 말했다.
하지만 다수의 보안 전문가들은 랜섬웨어에 의한 암호화 파일을 ‘복호화’ 키 없이 풀기는 매우 어렵다는 의견이다. 때문에 전문가들은 이들 업체가 겉으로는 ‘자체 복구’를 표방하면서 실제로는 고객을 대신해 랜섬웨어 유포자에게 비트코인을 보내고 복호화 키를 받아 암호화된 파일을 푸는 식의 중개영업을 하는 것으로 보고 있다.
한 데이터복구 전문가는 “파일의 헥사코드 값만 바꾸는 식의 암호화는 복구를 할 수도 있겠지만, 운영체제에 암호를 거는 경우는 복호화 키가 있어야만 하며, 그것도 동일한 운영체제와 시스템 환경에서만 동작되도록 설계돼 어설프게 복구를 의뢰했다가는 오히려 복구기회를 영원히 잃어버릴 수 있다”고 말했다.
이 전문가는 이어 “랜섬웨어는 계속해서 변종이 나타나고 있고, 오리지널 유포자가 복호키를 보내준다고 해도 100% 복구는 장담하기 어려운 만큼, 업체들이 주장하는 내용을 모두 믿지 말고 기술이나 비용 등 현실적인 여건들을 꼼꼼히 따져보고 복구를 맡기는 것이 좋다”고 조언했다.
테크니컬라이터 박영하