랜섬웨어 치료제 만드는 사람들..."해커도 사람, 허점 있다"

사용자 시스템을 잠그거나 데이터를 암호하는 악성코드인 랜섬웨어는 해커들이 가장 선호하는 공격이 됐다. 암호를 풀어주는 대가로 금전을 갈취하기가 용이하기 때문이다. 매년 100~300개 이상의 신종 랜섬웨어가 쏟아지고 있는 이유다. 실제 피해도 심각하다. 한국랜섬웨어침해대응센터에 따르면 국내에서만 최근 3년간 매년 2천 건 이상의 피해신고가 접수됐고, 그 피해금액은 총 6조3천억원에 이른다.

반대편에는 랜섬웨어 해커조직을 무력화하고, 피해자들이 랜섬웨어를 복구할 수 있도록 분투하는 암호 전문가들이 있다. 국내에선 한국인터넷진흥원(KISA)이 랜섬웨어 복구 도구를 개발하고 무료로 배포하는 중이다. 랜섬웨어 공격에 대한 대응이 악성코드 차단과 백업에 집중되고 있는 가운데, 치료제격인 복구도구를 개발하고 있는 곳은 국내 공공·민간 통틀어 KISA가 유일하다.

"쏟아지는 신종 랜섬웨어어 수를 감안하면 1년에 1~2개의 복구도구를 만드는 게 의미 있는 일인지" 고민하면서도, 복구도구 개발 성공률이 25%나 된다는 점에 희망을 가지고 지난 4년간 활동을 이어오고 있다. 암호는 깰 수 없지만 해커가 남긴 허점을 집요하게 파고들어 만든 성과다. 지난달에는 조선 분야 대기업 현대삼호중공업의 전상망 마비 사고를 일으킨 악명 높은 랜섬웨어 하이브에 대한 복구도구를 만들어 큰 호응을 받기도 했다.

이제는 복구도구 개발에 속도를 낼 수 있는 방법도 찾고 있다. 연구개발(R&D)을 통해 복구 가능성이 있는 랜섬웨어를 자동으로 선별하는 기술을 확보하면 가능할 것으로 보고 있다.

최근 사업을 담당하고 있는 KISA 차세대암호융합팀의 김기문 팀장을 만나 지금까지 랜섬웨어 복구도구 개발 성과와 앞으로의 과제에 대해 들어봤다.

-랜섬웨어 복구도구 개발은 어떻게 시작하게 된 건가.

"2017년 이후 암호 기술을 악용한 랜섬웨어 공격이 증가했다. 암호를 연구하는 입장에서 암호 기술의 순기능도 있지만 역기능도 있다는 점에 주목하게 됐고, 랜섬웨어 감염자의 피해 복구를 위해 복구도구 개발을 해봐야겠다고 생각핬다.

해커들이 암호학 쪽에 뛰어난 사람도 있지만, 그렇지 않은 사람도 있기 때문에 암호키를 찾아내는 게 가능할 수 있겠다고 봤다. 랜섬웨어 해커들도 사람이니까 실수를 한다. 암호 기술 자체를 깰 수는 없지만, 구현 과정에서 암호 기술을 쓰면서 생기는 허점이 있을 수 있다. 우리팀은 암호학 전문가로 구성됐기 때문에, 해커가 남긴 허점을 비집고 들어가면 복구도구를 만들어낼 수 있겠다고 생각했다."

-복구도구 개발이 가능한 랜섬웨어는 어떻게 찾고, 성공률은 얼마나 되나.

"아직 복구도구 개발이 안된 랜섬웨어 중에 피해가 큰 순서대로 정리해, 매년 4~6개 정도의 후보군을 선정한다. 랜섬웨어 하나 분석하는데 보통 3~4개월이 걸리기 때문에, 후보에 오른 랜섬웨어를 다 분석하면 거의 1년이 걸린다. 이런 과정을 거쳐 1~2개의 복구도구를 개발하고 있다.

지금까지 총 24개의 랜섬웨어를 분석해 6개의 복구도구를 개발했다. 배포가 완료된 것이 매그니베르(Magniber), 심플락커(SimpleLocker), 루사이퍼(LooCipher), 하이브(Hive) 4개이고, 올해 3분기 내 배포 예정인 이뮤니(Immuni), 라그나(Ragna)까지 2개 더 있다.

복구 성공률은 25% 정도 된다. 지금까지 랜섬웨어는 걸리면 해결 방법이 없다고 생각하고 포기하기 쉬운데, 복구도구 개발 가능성이 25%나 된다는 점은 굉장히 고무적인 수치라고 본다.

팀 내에 랜섬웨어 연구원이 한 명 밖에 없다. 한 명이 이런 성과를 내고 있는 것이다. 앞으로 인력이 충원되고 예산도 늘어난다면 더 많은 복구도구를 만들어 낼 수 있을 것 같다."

-암호 기술을 뚫을 순 없을 것 같은데...랜섬웨어 복구도구는 어떻게 만들 수 있는 건가.

"보통 취약한 암호키를 살펴보는 것부터 시작한다. 암호키를 생성할 때 단순한 방식으로 난수를 만들어 사용한 건 아닌지, 고정된 값으로 이뤄진 암호키를 쓴 건 아닌지 살펴본다. 이런식으로 취약한 암호키를 사용했으면, 비교적 쉽게 암호키를 도출해 낼 수 있다.

예컨대 시스템 시간 값을 난수로 사용해 암호키를 만드는 경우가 있다. 루사이퍼 랜섬웨어가 여기에 해당한다. 이런 경우 랜섬웨어가 시작되는 시점이 있기 때문에 밀리세컨드(ms)까지 고려해도 경우의 수가 그렇게 많지 않다. 범위가 좁혀지면 무차별 대입해 재구현할 수 있다."

-복구도구 만들기 힘들었던 케이스는.

"최근에 공개한 하이브 복구도구 개발이 가장 어려웠다. 하이브는 공격자가 자체적으로 개발한 알고리즘으로 키 스트림을 생성한 경우였다. 우리는 암호분석 방법의 한 종류인 차분공격을 통해 찾아냈다.

이 방법은 원본과 암호화된 파일 한 쌍을 가지고 있어야, 암호키를 찾아낼 수 있다. 때문에 원본과 암호파일 쌍이 많을 수록 복구 가능성이 높아진다. 한 개의 쌍만 있을 때는 복구 가능성이 95% 정도되고, 쌍을 많이 쓸 수록 100%에 가까워지는 것이다.

하이브는 프로그램 파일까지 다 감염을 시키니까, 원본과 암호문을 어떻게 다 가지고 있느냐고 생각할 수 있다. 하지만, 기존에 쓰던 메신저 프로그램 실행파일을 버전 맞춰서 다시 설치할 수 있으면 원본과 암호문 쌍이 갖춰지는 거다. 유저 데이터뿐만 아니라 프로그램 파일도 버전을 맞춰 설치하면 복구 확률을 높일 수 있다.

랜섬웨어 공격과 복구도구 개발은 창과 방패의 싸움이다. 공격자들은 새로운 방법으로 암호화시키고, 우리는 랜섬웨어를 분석해서 암호키를 도출하는 일을 계속 반복하는 중이다."

-KISA가 제공한 복구도구로 실제로 랜섬웨어를 치료한 케이스는 얼마나 있나.

"홈페이지에 올라가 있는 복구도구는 매그니베르, 심플락커, 루사이퍼, 하이브 4 종이다. 4개를 합쳐 총 2만 건 정도가 다운로드됐다.

하지만, 실제 복구도구를 사용해 랜섬웨어를 치료한 사례를 집계하진 못하고 있다. 외부에 랜섬웨어 감염 사실을 알려는 것 자체를 꺼려하기 때문에 확인이 어렵다."

-국제 랜섬웨어 복구 단체 노모어랜섬에 KISA가 어소시에이트 파트너로 참여하고 있다. 어떤 의미가 있는 활동인가.

"노모어랜섬은 랜섬웨어 복구도구를 개발하는 국제 프로젝트다. 현재 156종의 복구도구와 매뉴얼을 제공 중이다. 어소시에이트 파트너는 실제 복구도구를 개발할 수 있는 파트너들만 부여 받는 지위다. 현재 전 세계 17개 어소시에이트 파트너가 있고, 그 중 KISA가 우리나라에서는 유일하게 들어가 있다.

KISA는 2020년 4월에 첫 복구도구를 배포하고, 어소시에이트 파트너로 등급이 올라갔다. 이전까지는 일반 서포팅 파트너였다.

랜섬웨어 분석은 일반 악성코드와 달리 포렌식 기술뿐 아니라 암호 알고리즘 구조에 대한 이해도 필요하다. 복구가능성을 분석하고 복구도구 기술과 도구를 개발할 수 있는 전문인력이 필요하다. 이런 전문성을 바탕으로 국제 사회에 기여하고 있다는 점에서 의미가 있다."

-민간 업체가 랜섬웨어 복구 분야에 관심이 적은 이유는 뭐라고 보나.

"복구도구 개발을 사업화할 수가 없기 때문에 민간 기업들은 관심을 가지기가 어렵다. 복구도구를 만들어 배포하면서 피해자에게 돈을 받을 수는 없다. 돈을 받고 암호키를 주면 랜섬웨어 조직과 다를 바가 없지 않나.

그래서 국내 백신업체들은 주로 랜섬웨어에 대한 시그니처 정보만 빠르게 수집해서 차단하는 데 중점을 두고 있다.

해외에서는 카스퍼스키, 어베스트 같은 업체들이 복구도구 만드는 일을 하는데, 자신들의 암호 기술력을 외부에 알리고, 명예를 얻고자 하는 것 같다."

-랜섬웨어 복구도구 개발 사업에 어려움은 없나.

"새로운 랜섬웨어가 1년에 100~300개까지 등장한다. 랜섬웨어 조직이 큰 돈을 벌고 기업화되면서, 공격이 심화되고 있는 중이다.

그런데 우리가 복구도구를 만들 수 있는 건 1년에 1~2개 정도다. 공격·피해 규모를 따라가기가 어렵다. '우리가 랜섬웨어 복구 도구 하나를 개발한다고 사회의 피해를 얼마 만큼 감소시킬 수 있을까'란 생각에, 성과 측면에서 고민이 많이 됐다.

그래도 KISA가 만든 랜섬웨어 복구도구가 누군가에게 도움이 된다면, 의미가 있다고 생각한다. 실제 하이브 랜섬웨어는 분석에 속도를 내서 시의성 있게 복구도구를 공개했더니 반향이 컸다. 하이브는 국내 대기업도 최근 감염되기도 했다. 해외에서도 복구 방법에 대해 문의를 받고 있다."

-앞으로 계획이 있다면.

"앞서 얘기한 것처럼 새로운 랜섬웨어가 쏟아지고 있기 때문에 우리도 복구도구 개발에 속도를 내야 한다. 이를 위해 복구도구 개발 가능성이 높은 랜섬웨어를 빠르게 선별할 수 있는 기술 등의 연구개발(R&D)이 필요하다. R&D를 위한 예산 확보도 필요하다.