매년 5월 12일은 국제 랜섬웨어 방지의 날(International Ransomware Prevention Day)이다. 이 날은 2017년 5월 12일에 발생한 대규모 랜섬웨어 공격인 워너크라이(WannaCry) 사태를 계기로, 2020년에 인터폴(INTERPOL)과 카스퍼스키(Kaspersky)의 협력으로 제정되었다. 이 날의 목적은 랜섬웨어의 위협에 대한 전 세계적인 인식을 제고하고, 예방 및 대응을 위한 모범 사례를 촉진하는 것이다 .

랜섬웨어 공격은 사이버 범죄 중 가장 수익성이 높은 유형으로 자리잡고 있다. 최근에는 AI 기술의 발전과 함께 이 공격 방식이 더욱 정교하고 자동화된 형태로 진화하고 있다. 2024년 기준, 단일 랜섬웨어 공격의 평균 몸값은 273만 달러에 달하며, 피해 규모는 기업의 업무 중단뿐 아니라 데이터 복구와 법적 책임까지 확장되고 있다.

사이버 보안 플랫폼 노우비포(KnowBe4)가 국제 랜섬웨어 방지의 날을 맞아 가까운 미래에 에이전트형 AI 랜섬웨어가 새로운 위협이 될 것이라고 경고했다. 이와 함께 AI가 어떻게 해킹 공격의 전 과정을 자동화하고 반복 가능하게 만들 수 있는지를 강조했다.

자율 AI 에이전트 구조, 공격 전 단계를 자동화해 실행

에이전트 AI 기반 랜섬웨어는 다수의 자율 AI 봇들이 상호 협력하며 공격을 수행하는 체계이다. 전통적 악성코드가 정해진 명령어에 따라 단일 목적을 수행하는 반면, AI 에이전트는 다음과 같은 공격 흐름을 스스로 판단하고 조율할 수 있다.

① 초기 접근 권한 획득 : 피싱, 취약점 악용, 브루트포싱 등 다양한 방법으로 진입점을 확보한다.

② 환경 분석 : 침입 후 내부 네트워크, 운영 체제, 백업 시스템 등 인프라를 자동으로 파악한다.

③ 공격 설계 및 실행 : 피해자 시스템의 파일을 암호화하고, 사용자 인터페이스에 맞춘 지불 요구 메시지를 삽입한다.

④ 지속적 공격 반복 : 공격 수익을 극대화하기 위해 시간차 공격, 확장 대상 공격 등 반복적 침투가 가능하다.

노비포는 이 구조가 “AI 기반 자동화 공격의 현실화를 보여주는 명백한 신호”라고 진단하고 있다.

단계별 랜섬웨어 제거 및 데이터 복구 절차

노비포는 이번 발표와 함께 실질적인 대응 가이드를 공개했다. 특히 중소기업과 일반 사용자를 대상으로 한 실용적인 랜섬웨어 제거 및 복구 절차가 포함되어 있다.

① 맬웨어 검사

맬웨어바이츠(MalwareBytes) 무료 버전을 다운로드하여 정밀 검사를 수행한다. 실행이 되지 않을 경우, PC를 안전 모드(F8)로 부팅한 후 검사를 재시도한다.

② 시스템 복원

윈도우 복원 지점을 활용해 감염 이전 상태로 롤백한다. 부팅 중 F8 키를 눌러 시스템 복원 메뉴로 진입할 수 있다.

③ 복구 디스크 사용

윈도우 설치 디스크 또는 동일 버전 OS에서 제작한 복구 디스크로 부팅하여 ‘컴퓨터 복구’ 기능을 실행한다.

④ 바이러스 백신 복구 디스크 활용

비트디펜터(Bitdefender) 등 보안 업체에서 제공하는 복구용 CD/USB를 사용하여 비정상 시스템에서 직접 바이러스 검사를 수행한다.

⑤ 공장 초기화

이전 모든 조치가 실패한 경우, 제조사 지침에 따라 PC를 초기 상태로 되돌린다. 단, 이 과정은 데이터가 모두 삭제될 수 있으므로 백업이 필수다.

파일 복구 및 몸값 지불 고려 사항

감염된 파일이 암호화되지 않았을 경우, 숨김 속성 해제를 통해 파일을 복구할 수 있다. 그러나 암호화된 경우, 복구는 쉽지 않다. 선택지는 다음과 같다.

① 백업 복원 : 외부 저장 장치 또는 클라우드 백업이 있는 경우, 이를 통해 복구 가능하다.

② 섀도 볼륨 복사본 활용 : Shadow Explorer 등을 통해 Windows의 자동 저장본에서 일부 파일 복구가 가능하다.

③ 몸값 지불 : 최후의 수단으로 해커에게 금액을 지불할 수 있으나, 복호화 키 제공이 보장되지 않으며, 향후 추가 공격의 표적이 될 위험이 존재한다.

에이전트 AI 기반 랜섬웨어는 기술적 진보와 공격 수익 극대화 전략이 결합된 새로운 위협 유형이다. 노비포는 AI 위협이 본격화되기 전, 방어 측에서 선제적으로 기술을 적용하고 보안 교육과 도구 사용을 강화해야 한다고 강조하고 있다. AI는 더 이상 미래의 기술이 아니라, 공격자와 방어자 모두에게 현실적 도구로 작용하고 있다.

노비포의 데이터 기반 방어 전문가 로저 그라임스(Roger Grimes)는 "악의적인 해커들은 보통 선의의 개발자보다 6개월에서 12개월 뒤처져 있으며, 기존 보안 기술을 역이용해 자신들의 도구로 전환한다"고 말했다. 그는 “지금이야말로 보안 방어 측이 AI를 선제적으로 활용해 위협을 예측하고 차단해야 할 시기”라고 강조했다.