사상 최악의 악성코드로 불리는 '랜섬웨어'는 2015년 4월 한글판이 국내에서 처음 발견된 이후 약 2년간 진화를 거듭하면서 지금까지도 컴퓨터 사용자들에게 최대 위협으로 악명을 떨치고 있다.
하지만 일각에서는 기존 해킹의 주 대상이었던 개인정보를 거래하는 시장이 붕괴됨에 따라 수익을 얻기 위한 사이버 공격자들이 랜섬웨어에 몰리면서 보다 치밀하고 악랄한 수법으로 무장한 신종 랜섬웨어가 등장할 가능성도 있어 더욱 주의를 기울여야 한다는 지적을 제기한다.
2016년 국내 랜섬웨어 피해 규모를 살펴보면, 2015년과는 확실히 다른 양상을 발견할 수 있다. 한국랜섬웨어침해대응센터가 작년 한 해 동안 자체적으로 접수한 신고 건수와 보안 업체에 접수된 신고 건수, 관련 정부기관에 접수된 신고 건수, 복구대행업체에 접수된 의뢰 건수 정보를 취합한 결과 2016년 랜섬웨어 피해자는 13만명, 피해 규모는 3000억원에 달한 것으로 집계했다. 이는 2015년 피해자 5만3000명, 피해 규모 1090억원과 비교해 약 3배 가량 증가한 수치다.
한국랜섬웨어침해대응센터는 13만명의 피해자 중 약 10%인 1만3000명이 100억원 이상의 비트코인을 공격자에게 지급한 것으로 추정했다. 작년 한 해 동안 국내에서 6500억원의 비트코인 거래가 발생했는데, 이 중 약 1.5%가 랜섬웨어 복구 비용이었던 셈이다. 랜섬웨어 복구 비용이 늘어난데는 피해자 수가 증가한 이유도 있지만, 비트코인의 시세가 높아진 점도 한 몫 했다.
최근 한국을 대상으로 한 랜섬웨어는 주로 러시아와 그 주변국에서 개발됐고, 유포는 주로 중국에서 이뤄졌을 추정된다. 보안 업계는 국내에서 발견된 랜섬웨어 대부분에서 접속 지역이 러시아일 경우 감염을 제외토록 하는 코드가 포함된 것을 확인하고, 개발자가 러시아 출신일 것으로 추정하고 있다. 또 랜섬웨어 내에서는 어색한 번역투 한글 문장이 눈에 띄지만, 유포 과정에서는 매끄러운 한국어가 사용되고 있다는 점에서 중국에 소재한 한국인이 가담했을 가능성도 높다.
랜섬웨어에 감염돼 피해를 신고한 사용자층도 다양했다. 임상실험 데이터를 보관하던 병원, 8년 동안 아기 사진을 모아둔 주부, 과목별로 정리한 파일이 암호화된 수험생, 인쇄 직전의 광고회사, 생산설계도를 쓰지 못하게 된 제조회사, 인사자금 관련 기밀 파일이 암호화된 대기업 및 외국계 기업, 공공기관과 산하기관 등 개인에서부터 대단위 조직까지 한국 전체가 망라돼 있었다.
한국랜섬웨어침해대응센터는 2017년 랜섬웨어 공격자들이 수익성을 극대화하기 위해 지능형지속위협(APT) 공격을 접목한 타깃형 공격을 시도할 것으로 전망했다. 일례로 지난해 인터파크에서 회원 정보를 유출한 해커는 이를 단순 거래용으로 사용하다 실패했지만, 만약 손에 넣은 회원 정보를 바탕으로 마케팅 이메일로 위장한 랜섬웨어 공격을 시도했다면 더 높은 수익을 거뒀을 가능성을 지울 수 없다.
보안 업계 한 관계자는 "랜섬웨어는 악성코드 역사상 최초로 '돈 되는 바이러스'이고, 해커와 방어자 간에는 기술 정보의 비대칭이 존재할 수밖에 없기 때문에 랜섬웨어 피해는 앞으로도 계속 늘어날 전망"라며 "기술적인 보완 조치는 물론이고, 기업이나 기관의 경우 백업 의무화 등 랜섬웨어 공격자들의 투자 대비 수익을 낮추기 위한 정책적 대응도 필요하다"고 말했다.