랜섬웨어(Ransomware)는 금전적으로 요구되는 몸 값을 지불 할 때까지 특정 파일에 접근을 하지 못하도록 파일을 잠그는 악성코드다. 2005년 쯤 드물게 발생했던 악성코드였지만 최근 IBM 보고서에 따르면 2005년에 비해 4배가 늘었고 하루 4,000건 이상의 신고가 들어온다고 한다.^[1] 랜섬웨어의 초기에는 컴퓨터를 약탈하거나 키보드를 잠그는 단순한 정도의 공격이었지만 시간이 지날수록 랜섬웨어 공격 패턴은 크게 바뀌어 기존에 단순한 공격이 아닌 개인키를 사용하여 파일을 암호화하고 몸 값을 지불해야지만 데이터의 접근을 허용한다. 쉽게 말해 데이터 납치극이다.

랜섬웨어는 기존의 컴퓨터 또는 노트북에만 영향을 줬던 것이 아니라 최근에는 휴대 전화를 대상으로 한 랜섬웨어가 기승이다.^[2] 예를 들어 포르노 앱으로 가장한 랜섬웨어도 존재한다. 이른바 Porn Droid 앱은 Android 사용자를 대상으로 한 랜섬웨어 공격으로 전화를 잠그고 PIN 번호를 변경하여 접근 권한을 손아귀에 쥐고 사용자에게 500 달러의 몸값을 요구한다.^[3] 이러한 점을 봤을 때 랜섬웨어의 공격 방법은 매우 다양해지고 있으며 랜섬웨어의 주대상은 개인, 기업, 정부 기관, 학술 기관 등 그 누구도 될 수 있다. 랜섬웨어는 악의적인 이메일이나 웹 사이트를 통해 감염되며 공격자가 이전에 침입하여 백도어 같은 흔적을 남겼다면 공격자는 언제든지 사용자 컴퓨터에 바로 접근할 수 있다.

랜섬웨어가 다른 악성코드와 비교하여 얼마나 효과적으로 사용자에게 곤란을 줄 수 있는지를 겨뤄보면 그 어떤 것도 상대가 될 수 없다. 2012년 시만텍은 CryptoDefense 악성코드를 이용하여 명령 및 제어 서버에 접근하고 이를 통해 비트코인을 거래를 하고 있는 해커의 움직임을 엿볼 수 있었다. 그들은 하루에 5,700 대의 컴퓨터를 감염시키고 그  중 약 3 % 정도의 데이터 몸 값을 받는 것으로 확인하였으며 시만텍에 따르면 피해당 평균 200 달러를 요구하였고 당일 최소 34,000 달러 이상은 벌었을 것으로 예상했다. 그렇게 해서 그들은 한 달에 약 394,000 달러 이상을 벌었을 것으로 추측했다. 이러한 공격은 하나의 서버와 두 비트코인 주소를 기반으로 공격자는 여러 서버와 비트코인 주소를 사용하여 멀티로 작동했을 가능성이 크다.^[4]

시만텍은 랜섬웨어로 인한 피해 금액이 매년 5 백만 달러 이상으로 추측하며 심지어 몸값을 지불했음에도 불구하고 접근제한을 안 풀어준 경우도 있었다고 말했다.^[5] 한 가지 그 때와 다른 점은 당시 비트코인의 존재보다 돈을 지불할 수 있는 방법이 신용카드 혹은 SMS 메시지 밖에 없었던 터라 사실 결제 시스템이 상당히 좋지는 않았다. 하지만 비트코인의 발전으로 랜섬웨어의 전성기를 맞이했다. 비트코인은 돈을 가져간 자가 추적당하는 것을 막기 위해 거래는 보통 익명으로 진행한다. 이러한 익명성은 랜섬웨어 결제에 상당한 도움이 되기 때문에 랜섬웨어 몸값 요구에 가장 널리 사용되는 방법이 되었다. 

시만텍에 따르면, 처음으로 발생한 랜섬웨어는 러시아에서 발생하여 단순히 컴퓨터에 음란물 이미지를 표시하고 이를 제거하기 위한 돈을 요구했다. 공격자는 사용자가 SMS 문자 메시지 또는 공격자가 익명으로 돈을 받 수 있는 프리미엄 전화 번호로 전화를 걸어 돈을 지불할 수 있도록 했다.^[6]

랜섬웨어는 갈수록 진화하고 있다. 러시아에서 발생한 랜섬웨어가 유럽과 미국으로 확산되는 데는 오랜 시간이 걸리지 않았다.^[7] 오히려 다른 프로그램이나 앱으로 위장하는 등 랜섬웨어가 확산되면서 더욱 업그레이드가 되었다. Reveton으로 알려진 랜섬웨어는 미국을 대상으로 하여 사용자 컴퓨터에 아동 포르노나 다른 범죄와 연루시켜 FBI 나 경찰에 의해 잠겼다는메시지를 생성한다. 물론, 이를 풀기 위해서는 사용자가 비트코인(Bitcoin)을 지불해야지만 시스템 접근을 제어하는 ​​주소를 보내 잠금을 풀어줬다.^[8] 하지만, Reveton의 몸값은 200 달러로^[9] 사용자는 72 시간 동안 돈을 지불해야 했으며^[10] 질문을 할 수 있는 이메일 주소를 추가하여 신뢰성을 높이고 돈을 내지 않을 경우 체포될 위험성을 은근히 내비췄다. 대체로 이 같은 일을 경험하면 순순히 돈을 지불했다.^[11] 추측하기로는 이 랜섬웨어가 설치될 때 포르노 사이트에서 운영하는 광고 네트워크를 통해 악성 코드를 배포하여 아동 포르노 여부와 상관없이 죄책감과 두려움을 유발시켜 돈을 입금하도록 유도했다. 시만텍에 따르면 아마도 18 일 동안 50 만 명이 악성 광고를 클릭 한 것으로 나타냈다.^[12]

2013 년 8 월, 랜섬웨어는 CryptoLocker가 등장하면서 크게 도약했다. CryptoLocker는 공개키와 개인키를 사용하여 사용자 파일을 잠그고 해제하는 랜섬웨어로 소문에 의하면 제우스 뱅킹 트로이 목마를 만든 해커, Slavik가 만들었다고 한다.^[13] CryptoLocker는 Gameover ZeuS라는 뱅킹 트로이 목마 봇넷을 통해 감염되었다. 공격자는 먼저 Gameover Zeus를 이용하여 사용자의 은행 정보를 훔친다. 만약, 이 방법이 먹히지 않는다면 사용자 컴퓨터에 zeus 백도어를 설치하여 공격했다. 이후, CryptoLocker는 UPS 또는 FedEx를 통해 확산되기도 하였다.^[14] CryptoLocker에 감염된 사용자들은 만약 4일 이내에 현금을 지불하지 않으면 암호 해독키가 파괴되고 그 누구도 잠겨진 파일을 해제할 수 없을 것이라고 경고 메시지를 띄웠다.^[15]

CryptoLocker는 2013년 9월에서 2014년 5월 사이, 6 개월 만에 50 만 명이 넘는 희생자를 만들었다. 감염된 사용자의 약 1.3 %만 몸값을 지불했지만 이 공격은 매우 효과적이었다.^[16] 2014년 당시 FBI는 이들에 의한 피해금액이 약 2천 7백만 달러에 달한다고 말했다. ^[17]

CryptoLocker의 피해자 중 한 명인 매사추세츠의 스완지(Swansea)에 있는 경찰은 자료의 잠금을 깰 수 있는 방법을 찾기보다 당시 약 750달러에 달하는 2 비트코인을 지불했다.^[18] 악성코드는 너무 복잡하고 효과적이어서 풀기보다 돈을 지불하는 것이 나았다고 당사자 그레고리 리안(Gregory Ryan)은 말했다.^[19]

2014 년 6 월, FBI는 Gameover Zeus 봇넷 및 CryptoLocker에 사용되는 명령 및 제어 서버에 접근할  수 있었다. ^[20]이에 대한 결과로 보안 회사인 FireEye는 CryptoLocker로 인해 잠긴 파일을 풀 수 있는 DecryptCryptoLocker라는 도구를 개발했다. 사용자는 잠긴 파일을 FireEye 웹 사이트에 업로드하면 개인키를 얻어 자료를 잠금을 해제할 수 있다. FireEye는 공격 서버에 저장된 암호키에 대한 접근 권한을 얻은 후에야 ​​도구를 개발할 수 있었다.^[21]

FireEye의 DecryptCryptoLocker가 구현되기 전에는 CryptoLocker가 너무 효과적인 랜섬웨어여서 이를 모방한 여러 랜섬웨어가 등장했다. 그 중 크립토 디펜스(CryptoDefense)는 상당히 공격적인 전술을 사용했다. 크립토 디펜스는  4 일 안으로 돈을 지불하지 않으면 잠궈진 파일이 두 배가 되었다. 또한, 공격자는 익명으로 거래하고 처리하기 우해서 추적이 쉽지 않은 토르 네트워크를 사용하여 지불하도록 요구했다.^[22] 더욱이 공격자는 토르 클라이언트를 다운로드하고 설치하는 벙법을 아주 친절하게 설명하기도 했다. 하지만, 그들은 아주 중대한 실수를 하나 했는데 그것은 파일 잠금을 해제할 수 있는 키를 사용자 컴퓨터에 남겨 두었다는 것이다. 랜섬웨어는 피해자의 컴퓨터에서 Windows API를 사용하여 암호키를 생성 한 후 공격자에게 키를 보내어 피해자가 비용을 지불 할 때까지 저장해뒀다. 아마도 이 랜섬웨어를 만든 이들은 운영체제를 이용하여 키를 생성할 때 그 사본이 사용자 컴퓨터에 남아있을 것이라고는 생각지도 못했을 것이다.^[23] 시만텍은 이런 크립토 디펜스를 보고 저질같은 암호 알고리즘으로 암호를 해제할 수 있는 열쇠를 남겨뒀다고 이이야기 했다.^[24]

랜섬웨어의 공격 방법은 갈수록 전문화되어 가고 있다. 예를 들어, 시만텍은 2012 년에 여러 가지 범죄 조직에서 사용된 16 가지의 서로 다른 랜섬웨어를 조사했다. 모든 악성코드는 공격자에 의해 사용자가 무슨 일을 하고 있는지 추적이 가능했다. ^[25]

랜섬웨어는 컴퓨터 또는 모바일로 이 기사를 보고 있는 지금도 조심해야 한다. Fox-IT는 CryptoWall, CTB-Locker 및 TorrentLocker로 식별되는 랜섬웨어 분류 카탈로그를 작성했다.^[26] CryptoWall은 치명적인 결함을 제외한 CryptoDefense의 향상된 버전이다. CryptoWall은 사용자 컴퓨터를 사용하여 키를 생성하는 대신 공격자가 서버에서 암호키를 생성한다. CryptoWall에서는 AES 대칭 암호화를 사용하여 대상 파일을 암호화하고 RSA-2048 키를 사용하여 AES 키를 암호화한다. 또한, 토르 네트워크를 사용하여 명령 서버를 숨기고 여러 프록시를 통해 사용자 시스템에 설치된 악성코드와 통신한다.^[27]

CryptoWall은 사용자 컴퓨터 안에 있는 파일뿐만 아니라 컴퓨터에 연결된 외부 또는 공유 드라이브도 암호화 할 수 있다. 파일의 암호를 풀기 위한 금액은 200 달러에서 5,000 달러에 이르며 CryptoWall을 만든 이들은 제휴 프로그램을 만들어 이를 통해 다른 랜섬웨어의 수익을 줄이는데 사용되었다. CTB-Locker은 커브(curve), 토르(Tor), 비트 코인(Bitcoin)의 약자로 이 같은 이름이 붙은 이유는 이들이 타원 곡선 암호화 방식을 사용하기 때문이다. 더불어, CryptoWall가 마찬가지로 제휴 판매 프로그램이 존재한다. TorrentLocker는 사용자 메일 클라이언트에서 다른 사용자에게 스팸 메일을 보내 다른 이의 이메일 주소를 수집한다.^[28] Fox-IT는 TorrentLocker가 이 방식을 이용하여 약 260 만 개의 이메일 주소를 축적했다고 계산했다.^[29]

랜섬웨어에 대한 보안은 공격자가 안티 바이러스 탐지를 무력화하기 위해 여러 방법을 적극적으로 적용하기 때문에 발견하기가 쉽지 않다. 그럼에도 불구하고 바이러스 백신은 여전히 랜섬웨어로부터 보호받기 가장 좋은 방법 중 하나다. 랜섬웨어에게 완전한 제 3자가 될 수는 없지만 자료를 정기적으로 백업하고 온라인, 로컬 시스템이 아닌 이동 저장 장치에 저장하면 피해자가 될 가능성이 줄지 않을까 생각된다.