랜섬웨어는 PC사용자의 동의없이 이메일 혹은 업데이트로 위장하여 불법적으로 PC에 침입해 사용자가 생성한 문서, 그림 파일 등에 암호화를 한 뒤 해당 파일을 인질로 사용자에게 돈을 요구하는 악성 프로그램이다. 랜섬웨어는 주로 가상화폐인 비트코인을 요구한다. 이 악성 프로그램은 보안이 취약한 웹사이트를 접속하거나 출처가 불분명한 이메일 첨부파일을 열람했을 때, 혹은 다른 악성코드에 의해 감염된다. 또한 이 악성 프로그램은 비지속적이라는 특징을 갖는다. 그리고 사용자 데이터에 제한 시간을 두고, 그것을 초과하면 더 많은 금전을 요구한다는 특징도 갖고있다.

랜섬웨어는 몸값을 뜻하는 ransom과 소프트웨어 software의 합성어로, ‘파일을 인질로 잡아 몸값을 요구하는 소프트웨어’라는 의미이다.

처음 존재가 알려진 랜섬웨어는 1989년 조셉 팝에 의해 만들어진 AIDS 트로이목마다. 소트웨어의 일부분이 라이센스가 만료되었다고 거짓 알림창을 띄우며 파일들을 암호화 한다. 이를 해독하려면 ‘PC cyborg corporation’에 189달러를 지불할 것을 요구한다. 2006년 반에 발견된 gpcode, archiveus등의 랜섬웨어는 이전의 랜섬웨어보다 복호화가 더 힘들도록 RSA 암호화 알고리즘을 사용하고 확장된 키 길이를 사용했다. GpcodeAG는 660 비트 RSA공개키를 이용해서 암호화했고 변종인 Gpcode.AK는 1024비트 RSA키를 이용해 암호화 하였다. 2014년에는 NAS를 상으로 하는 랜섬웨어인 synolocker가 확산되었다. 2013년 7월에는 OS X운영체제에 특화된 랜섬웨어가 발생했다. 이것은 사용자가 불법 포르노 동영상을 다운로드했기 때문에 사용자를 고발한다는 웹페이지 형식의 알림창을 띄웠다. 이것은 윈도우 기반의 유사 제품과 다르게 전체 컴퓨터 성능을 해하지 않았고 웹브라우저의 동작을 이용했다.

비트코인은 미국발 금융위기가 생겼던 2008년 익명의 프로그래머에 의해 발명되었다. 이것은 지폐나 동전과 달리 물리적 형태가 없는 가상 화폐이다. 이 가상화폐는 형태가 없기 때문에 범죄에 활용될 가능성이 높다. 이런 비트코인의 익명성을 이용하여 2013년 크립토락커는 이메일의 첨부파일을 통해 악성 프로그램을 유포했다.

• 크립토락커: 크립토락커는 비트코인의 등장과 함께 등장했다. 이것은 비트코인의 익명성을 이용해 악성 프로그램을 유출시킨다. 또한 크립토락커는 공개키 암호화 방식을 이용하는데, 이것은 매우 강력하기 때문에 크립토락커 등장 이후 이런 방식의 암호화 키를 만드는 랜섬웨어가 등장한다.

• 테슬라크립트(TeslaCrypt): 테슬라크립트는 고정식 디스크만을 감염의 대상으로 삼는다. 그리고 이 랜섬웨어는 이메일의 첨부파일이나 인터넷 웹사이트를 통해 유포된다.

• 크립트XXX(CryptXXX): 크립트XXX는 감염이 되면 파일 확장자가 ‘Crypt’로 바뀌는 특징을 갖는다.

• 록키(Locky): 록키는 이메일의 첨부파일이나 웹사이트를 통해 감염되고, 감염이 되면 확장자가 ‘locky’로 나타나고, 바탕화면에 데이터 복구 메시지가 뜬다는 특징을 갖는다.

단순 인터넷 접속, 이메일 첨부파일, 파일공유 사이트, 신뢰할 수 없는 사이트, 인터넷 웹 사이트, 이메일 등의 경로를 통해 사용자의 디바이스에 침입한다. 이후 자동으로 사용자의 파일이나 문서 등을 실행하여 그것들을 암호화 한다. 암호화된 문서들을 인질로 하여 사용자에게 금전을 요구하고, 그렇지 않으면 다시 인터넷에 유포하는 방식으로 감염이 진행된다.

차병원 소속의 할리우드 장로병원에서 2015년 2월 16일 랜섬웨어 피해를 보았고, 2천만 원을 지불하여 겨우 의료시스템을 회복하였다. 뿐만 아니라, 국립 암센터 역시 피해를 보았다. 병원이 랜섬웨어에 많이 감염되는 이유는 공유기를 통해 네트워크가 연결되어있어 보안이 취약하기 때문이다.

신뢰할 수 없는 사이트에 접속한 개인이 랜섬웨어에 감염되어 데이터 손실을 겪었다는 사례가 많이 있다.

기업의 랜섬웨어 감염 피해는 2014년 24,069건, 2015년 51,050건으로 전년 대비 무려 두 배 증가하였다.^[1]

• 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단.
• 인터넷선과 PC 전원 차단.
• 증거 보존 상태에서 신속하게 경찰에 신고.
• 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료 요청.
• 염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용.

• 악성코드 유포, 정보훼손: 5년 이하 징역 또는 5천만원 이하의 벌금

• 공갈: 10년 이하 징역 또는 2천만원 이하의 벌금
• 컴퓨터등사용사기: 10년 이하 징역 또는 2천만원 이하의 벌금

• 사이버안전국 홈페이지(http://사이버안전국.한국/)
• 경찰민원콜센터 182