어느 날 컴퓨터를 켰는데 바탕화면이 빨간색으로 바뀌어 있다. 문서, 사진, 영상 파일이 전부 열리지 않는다. 화면 한가운데에는 “48시간 안에 비트코인 0.5개를 보내라”는 영어 메시지가 떠 있다. 이것은 가상의 시나리오지만, 매년 수십만 명이 실제로 겪는 상황이다. 랜섬웨어 뜻은 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 파일을 인질로 잡고 돈을 요구하는 악성코드를 말한다.
나는 보안 업계에서 일하고 있다. 기업 서버가 통째로 잠기는 경우도 있지만, 개인 PC에서 가족 사진과 업무 파일을 한순간에 잃는 경우도 많다. 기술을 잘 모를수록 표적이 되기 쉽다. 이 글에서는 랜섬웨어 뜻부터 감염 경로, 감염 후 대처법까지 일반인이 꼭 알아야 할 핵심을 정리한다.
랜섬웨어 뜻, 바이러스와 뭐가 다른가
몸값을 요구하는 악성코드
랜섬웨어는 Ransom(몸값)과 Software(소프트웨어)를 합친 단어다. 컴퓨터에 저장된 파일을 암호화한 뒤, 복호화 키를 대가로 돈을 요구한다. 결제 수단은 대부분 비트코인 같은 암호화폐다. 추적이 어렵기 때문이다.
일반 악성코드는 파일을 삭제하거나 정보를 빼내는 것이 목적이다. 랜섬웨어는 다르다. 파일을 파괴하지 않는다. 대신 암호화해서 쓸 수 없게 만든다. 피해자가 돈을 내야만 파일을 돌려받을 수 있는 구조다. 데이터를 인질로 잡는 셈이다.
바이러스, 트로이목마와 뭐가 다른가
악성코드라는 큰 범주 안에 바이러스, 트로이목마, 랜섬웨어가 모두 포함된다. 바이러스는 다른 파일에 자신을 복제하며 퍼진다. 트로이목마는 정상 프로그램으로 위장해 몰래 설치된다. 랜섬웨어는 침투 방식은 트로이목마와 비슷하지만, 최종 목적이 “돈을 받는 것”이라는 점에서 구분된다.
쉽게 말하면 바이러스는 파괴범이고, 트로이목마는 스파이며, 랜섬웨어는 납치범이다. 셋 다 위험하지만, 대응 방법이 다르기 때문에 구분해서 이해해야 한다.
감염은 이렇게 시작된다
이메일 첨부파일 한 번의 클릭
가장 흔한 감염 경로는 이메일이다. “미납 요금 확인서”, “배송 안내”, “이력서” 같은 제목으로 메일이 온다. 첨부된 문서 파일이나 압축 파일을 열면, 그 안에 숨어 있던 악성코드가 실행된다. 파일 이름이 invoice_2026.pdf.exe처럼 확장자를 이중으로 위장하는 경우도 많다.
발신자 이름이 거래처나 택배사로 되어 있어서, 의심 없이 열어보는 사람이 대부분이다. 한국인터넷진흥원(KISA) 조사에서도 랜섬웨어 감염 경로 1위는 이메일이었다.
웹사이트 방문만으로도 감염된다
보안이 취약한 웹사이트에 접속하는 것만으로 감염되기도 한다. 공격자가 해당 사이트의 광고 배너나 스크립트에 악성코드를 심어두는 방식이다. 이를 드라이브바이 다운로드(drive-by download)라고 부른다. 사용자가 아무것도 클릭하지 않아도, 브라우저나 플러그인의 보안 취약점을 통해 자동으로 감염된다.
운영체제나 브라우저를 오랫동안 업데이트하지 않은 PC가 특히 위험하다. 보안 패치가 나오는 이유가 바로 이런 취약점을 막기 위해서다.
원격 데스크톱으로 직접 침투하는 경우
기업 환경에서는 원격 데스크톱 프로토콜(RDP)을 통한 감염도 많다. 재택근무가 늘면서 RDP를 외부에 열어두는 서버가 증가했고, 공격자는 약한 비밀번호를 무작위로 대입해 접속한다. 로그인에 성공하면 직접 랜섬웨어를 설치한다.
개인 사용자에게는 해당되지 않는 이야기처럼 들릴 수 있다. 하지만 NAS(네트워크 저장장치)를 사용하는 가정에서도 비슷한 방식으로 감염된 사례가 보고되고 있다.
감염되면 벌어지는 일
파일 확장자가 바뀌고 열리지 않는다
랜섬웨어가 실행되면, PC에 저장된 문서·사진·영상 파일이 하나씩 암호화된다. 확장자가 .locky, .encrypted, .crypt 같은 낯선 형태로 바뀐다. 원본 파일명은 유지되지만, 어떤 프로그램으로도 열 수 없다.
암호화 속도는 빠르다. 수천 개의 파일이 수 분 안에 잠긴다. 외장하드나 USB가 연결되어 있으면 그것까지 함께 암호화된다. 클라우드 동기화 폴더도 예외가 아니다.
바탕화면에 뜨는 협박 메시지
암호화가 완료되면 바탕화면이 바뀌거나, 메모장 파일이 자동으로 열린다. 내용은 대체로 같다. “당신의 파일은 암호화되었습니다. 복구하려면 비트코인 X개를 이 주소로 보내세요.” 시간 제한을 두고, 기한이 지나면 금액을 올리거나 파일을 영구 삭제하겠다고 위협한다.
최근에는 파일을 암호화하는 것에 더해, 데이터를 미리 빼돌린 뒤 “돈을 안 내면 유출하겠다”고 이중으로 협박하는 방식도 늘었다. 이를 이중 협박(double extortion)이라고 부른다.
감염됐을 때 실제로 해야 할 것
돈을 내면 풀어줄까
결론부터 말하면, 돈을 내도 파일을 돌려받을 확률은 높지 않다. 미국 FBI도 몸값을 내지 말라고 권고한다. 돈을 보내도 복호화 키를 주지 않거나, 키가 작동하지 않는 경우가 많다. 지불 사실이 알려지면 같은 대상을 반복 공격하는 사례도 보고된다.
물론 기업 입장에서는 업무가 완전히 멈추기 때문에 지불을 고려하는 경우도 있다. 하지만 개인 사용자라면 돈을 보내는 것은 거의 도박에 가깝다.
지금 당장 해야 할 5단계
감염이 의심되는 순간, 다음 순서를 따른다.
첫째, 네트워크를 즉시 분리한다. 랜선을 뽑거나 Wi-Fi를 끈다. 같은 네트워크에 연결된 다른 기기로 감염이 퍼지는 것을 막기 위해서다.
둘째, PC 전원은 끄지 않는다. 전원을 끄면 메모리에 남아 있던 복호화 단서가 사라질 수 있다. 화면을 그대로 유지한 채 다음 단계를 진행한다.
셋째, 협박 화면을 촬영해둔다. 랜섬웨어 종류를 식별하는 데 필요한 정보가 화면에 담겨 있다. 스마트폰으로 사진을 찍어두면 된다.
넷째, KISA(한국인터넷진흥원) 보호나라(boho.or.kr)에 신고하거나, 118 상담센터에 전화한다. 랜섬웨어 종류에 따라 무료 복구 도구가 존재하는 경우가 있다. 노모어랜섬(No More Ransom) 프로젝트 사이트에서도 복구 도구를 제공한다.
다섯째, 백업이 있는지 확인한다. 외장하드, 클라우드, NAS 등에 감염 이전 시점의 백업이 있다면 복구할 수 있다. 백업이 없다면 복구 도구를 기다리는 수밖에 없다.
워너크라이, 세상을 멈춘 랜섬웨어
하루 만에 150개국 감염
2017년 5월 12일, 워너크라이(WannaCry)라는 이름의 랜섬웨어가 전 세계를 강타했다. 하루 만에 150개국, 약 30만 대의 컴퓨터가 감염되었다(출처). 이전의 랜섬웨어와 달리, 워너크라이는 이메일 없이도 네트워크만 연결되어 있으면 자동으로 퍼졌다.
핵심은 윈도우 운영체제의 SMB 취약점이었다. 이 취약점을 공격하는 도구(EternalBlue)는 원래 미국 국가안보국(NSA)이 개발한 것이었다. 해커 그룹이 NSA에서 이 도구를 탈취해 공개했고, 그것이 워너크라이에 사용되었다. 국가가 만든 사이버 무기가 범죄자의 손에 넘어간 셈이다.
병원이 멈추고 공장이 멈췄다
피해는 일반 PC에 그치지 않았다. 영국 국민보건서비스(NHS) 산하 병원 수십 곳의 시스템이 마비되어 수술이 취소되고 환자가 다른 병원으로 이송되었다. 프랑스 자동차 제조사 르노는 공장 가동을 중단했다. 스페인 통신사 텔레포니카, 독일 철도 도이체반 등도 피해를 입었다.
피해 규모는 약 40억 달러로 추정된다(출처). 마이크로소프트는 이 취약점에 대한 보안 패치를 사건 두 달 전인 2017년 3월에 이미 배포한 상태였다. 패치를 적용하지 않은 시스템이 감염된 것이다. 보안 업데이트를 미루는 습관이 얼마나 위험한지를 보여주는 사례다.
랜섬웨어는 남의 일이 아니다
랜섬웨어는 기업만 노리는 공격이 아니다. 개인 PC, 스마트폰, NAS까지 감염 대상이 된다. “나는 중요한 데이터가 없다”고 생각할 수 있지만, 가족 사진, 졸업 논문, 업무 파일이 한순간에 잠기면 그 손실은 돈으로 환산할 수 없다.
예방은 어렵지 않다. 운영체제와 소프트웨어를 최신 상태로 유지하고, 출처가 불분명한 이메일 첨부파일을 열지 않으며, 중요한 파일은 분리된 저장장치에 정기적으로 백업한다. 이 세 가지만 지켜도 대부분의 랜섬웨어 감염을 막을 수 있다.