‘아무나 걸려라'식 무차별 유포는 옛말…원하는 곳에 필요한 정보로 위장
기술전보다 심리전…사회공학적 관점에서 접근해야
“안녕하세요. 최근에 한 채용 전문 사이트에서 IT조선 인턴기자 모집 공고를 봤는데, 그 포지션에 지원하고 싶습니다. 또한, 다른 기회가 있다면 도전하고 싶습니다. 이력서를 첨부했습니다.”
5월 말 IT조선에 발송된 이메일 본문 내용이다. IT조선은 실제 해당 채용 전문 사이트를 통해 인턴기자를 모집했다. 인사 담당자 입장에서는 자연스럽게 눈길이 갈 수밖에 없는 이메일이었다.
하지만, 당시는 인턴기자 모집이 이미 끝난 시점이어서 인사 담당자는 링크를 클릭하지 않았다. 그가 만약 링크를 클릭했다면 인사 담당자는 큰 곤경에 처했을지 모른다. 이는 최근 유행하는 전형적인 ‘갠드크랩(GandCrab)’ 랜섬웨어 변종이었기 때문이다.
링크를 클릭하면 연결되는 php 파일은 랜섬웨어를 추가로 내려받는 등 악성 행위를 수행하도록 프로그래밍돼 있다.
특히 주목할 점은 해커가 공격 대상을 특정하고, 피해자가 스스로 랜섬웨어를 실행하도록 유도한다는 점이다. 불특정 다수를 노리기보다는 업무 연관성이 높은 기업 담당자를 특정해 발송하는 경우가 많다. 채용 전문 사이트에서 채용 공고를 낸 기업에 이력서를 위장해 이메일을 보내면 인사 담당자는 이메일을 열어볼 수밖에 없다. 블로그를 일일이 검색해 특정 블로거가 저작권 위반 소지가 있는 이미지를 게시했다며 합의를 요구하는 내용으로 위장해 랜섬웨어 이메일을 보내는 경우도 있다.
인사 담당자가 평소 행위 기반 랜섬웨어 차단 기능을 갖춘 백신 등을 이용하지 않고 있었다면 컴퓨터 내 주요 파일이 모두 암호화돼 더는 쓸 수 없는 상태가 됐을 것이다. 암호화된 파일을 복구하기 위해서는 공격자에게 암호화폐(가상화폐)를 송금하고, 해독 키를 받아야 한다.
나아가 랜섬웨어 공격자의 한국어가 늘면서 단순 악성코드 유포에 그치지 않고, 사회공학적 공격 성격이 강해졌다. 랜섬웨어 자체는 소프트웨어 취약점을 악용한 악성코드에 불과하다. 공격자 입장에서는 이 악성코드가 어떻게든 사용자 컴퓨터에서 실행되도록 하는 게 관건이다.
최근 랜섬웨어가 기술적으로 획기적인 기법을 도입했다고 보기는 어렵다. 번역 기술이 발전하고, 한국어를 자유자재로 사용할 수 있게 되면서 피해자 심리를 교묘히 파고들어 공격 성공률을 높였다는 분석에 힘이 실리는 이유다.
보안업계 한 관계자는 “보안을 기술적 관점으로만 보면 솔루션 중심의 대응책으로 충분하겠지만, 사회공학적 관점에서 접근한다면 결과 자체보다는 결과에 이르는 과정에 주목하고 대응책을 마련해야 한다"며 “기업은 물론 개인도 평소와는 다른 행동을 요구하는 상황에 무심코 대응했다가는 자칫 돌이킬 수 없는 결과를 낳을 수 있다는 점을 명심하고, 기본 보안 수칙에서 벗어나지 않는 습관을 들이는 게 중요하다"고 말했다.