KISA 개발 '랜섬웨어 복구도구' 해외서도 큰 관심

지난해 6월 등장해 올해 초까지 전 세계 의료기관, 에너지 및 금융 기업 등에 막대한 피해를 입힌 악성코드 '하이브 랜섬웨어' 일부 버전이 국내 암호 연구자들에 의해 무력화됐다.

랜섬웨어는 몸값(ransom)과 악성코드(malware)를 합성한 말로 공격자가 피해자의 컴퓨터 데이터를 암호화해 사용 불가능하게 만든 뒤, 암호를 풀어주는 대가로 금전을 요구하는 행위다. 하이브는 최근 1년간 가장 활성화된 랜섬웨어 중 하나인데, 한국인터넷진흥원(KISA) 차세대암호융합팀이 하이브의 암호학적 취약점을 파고들어 암호화키를 추출하고 무료로 배포하고 있다.

KISA의 하이브 복구도구 개발 소식은 해외에서 더 큰 반향을 일으키고 있다. 국내보다 남미, 미국, 유럽에서 피해를 본 기업이 많았기 때문이다. KISA는 각국 정보 기관 및 글로벌 랜섬웨어 대응 협의체 '노모어랜섬' 등을 통해 글로벌 피해 사례에 대한 복구를 직·간접적으로 지원할 계획이다.

■악명 높은 랜섬웨어 하이브, 통합 복구도구 배포되자 뜨거운 반응

7일 KISA 암호이용활성화 홈페이지(☞링크)에 따르면 '하이브 랜섬웨어 통합 복구도구' 설치파일과 메뉴얼이 포함된 게시물은 지난달 28일 공개된 뒤 일주일 만에 7천 건에 가까운 조회수를 기록하고 있다.

KISA는 올해 3월에 하이브 랜섬웨어 버전1에 대한 복구도구를 배포한 후 다양한 변종에 대한 추가적인 암호학적 분석을 통해 버전4까지 복구 가능한 통합 복구도구를 개발하는 데 성공했다.

KISA가 하이브 랜섬웨어 1~4버전에 대한 복구도구를 만들어 무료로 배포하고 있다는 소식은 국내뿐 아니라 해외에서도 큰 화제가 되고 있다. 글로벌 보안 전문가들은 트위터를 통해 이 같은 소식을 알리며, 하이브 랜섬웨어 복구도구를 다운로드 받을 링크를 공유하고 있다.

특히 하이브 랜섬웨어의 피해가 집중된 남미 지역에서 높은 관심을 보이고 있다. 글로벌 보안 업체 트렌드마이크로가 지난 3월 발표한 보고서에 따르면 지난해 8월부터 올해 2월 말까지 하이브 랜섬웨어의 공격 시도는 아르헨티나, 브라질, 콜롬비아, 엘살바도르 등 남미 지역에 집중돼 왔다.

트렌드마이크로 보고서에 따르면 지난해 8월부터 올해 2월 말까지 하이브 랜섬웨어 공격을 가장 많이 받은 국가는 아르헨티나, 브라질, 미국 등의 순이다.

KISA도 해외에서 높은 관심을 확인하고 발빠른 지원에 나섰다. KISA 김기문 차세대암호융합팀장은 "해외에서 요청이 많아 지난 5일자로 영문 매뉴얼을 추가로 마련했다"고 설명했다. 영문 매뉴얼도 암호화이용활성화 홈페이지에서 이용할 수 있다.

또, 글로벌 랜섬웨어 복구도구 개발·배포 협력체인 '노모어랜섬'에 등록도 추진 중이다. 김 팀장은 "노모어랜섬 측에서 트위터 등에서 반응을 보고 먼저 신속하게 하이브 복구도구를 올리고 싶다는 연락이 왔다"며 "보통 노모어랜섬에 신규 복구도구를 올리려면 3~5개월 소요되는데, 이번에는 관심이 높아 빠르게 올라갈 것 같다"고 했다.

해외 정부기관의 협력 요청도 들어오고 있다. 그는 "하이브 랜섬웨어 복구도구를 자국 내 피해 조직에 지원하기 위한 문의도 있고, 새로운 랜섬웨어에 대한 공동 연구개발을 제안하는 요청도 들어오고 있다"고 말했다.