랜섬웨어

랜섬웨어

랜섬웨어는 몸값을 의미하는 Ransom과 소프트웨어(Software)의 합성어로 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 인질로 잡아 금전적인 요구를 하는 악성 프로그램을 말한다. 시스템을 잠그거나 데이터를 암호화해 사용을 할 수 없게 만든다. 랜섬웨어는 2005년부터 본격적으로 알려지기 시작해, 2013년 들어 전 세계적으로 퍼져나갔다. 랜섬웨어의 공격을 받은 공공기관, 기업, 개인 PC 등이 매년 늘고 있는 추세이다. 또한 랜섬웨어는 꼭 컴퓨터에서만 발생하는 것이 아니라 모바일 환경에서도 발생할 수 있다. 한국에서는 2016년을 기점으로 대폭 성장하여 2017년 가장 조심해야할 바이러스로 꼽힌다.

랜섬웨어는 보안이 취약한 사이트, 가짜 이메일, 구글 애드센스, 그 외 광고창 등에 심어져 들어와 사용자 몰래 랜섬웨어를 실행시키고 감염되는 식이다. 이메일, 인스턴트 메시지, 웹사이트 등에서 링크를 클릭하기만 해도 플래시 취약점을 이용하여 설치된다. 일반적으로 당연히 운영체제 상의 일차적인 방패인 UAC, sudo 등이 존재하지만 보안상의 구멍으로 우회해서 들어가는 것들도 존재한다.

문서나 스프레드시트, 그림 파일 등을 마음대로 암호화해 열지 못하도록 한 뒤, 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다고 하며 금품을 요구한다. 랜섬웨어는 Tor 기반의 결제 홈페이지와 비트코인 결제로 인해 추적이 어렵고 막대한 시간이 들기 때문에 검거가 어렵다.

이러한 문제 때문에 랜섬웨어는 각종 큰 피해를 만들고 다닌다. 그래픽 관련 종사자들은 영상을 관리하므로 용량 문제로 백업을 하는 것이 쉽지 않은데 이런 파일들이 암호화 걸리면 생계를 유지할 수 없게 되기 때문에 금전 요구에 응할 수밖에 없어진다. 그러나 대부분의 해커들은 가상 계좌로 돈을 보내도 복호화 프로그램을 주지 않는다. 이런 특성으로 랜섬웨어는 사상 최악의 악성코드라고도 불린다. 다른 악성코드는 단순히 프로그램을 파괴하거나 변조하는 문제를 발생시키는 것이라면 랜섬웨어는 대놓고 컴퓨터를 인질삼아 돈을 요구하는 강도와 같게 행동하기 때문이다.

랜섬웨어의 종류를 살펴보면 다양하다.

Crypt 계열의 랜섬웨어가 있다. 예시로는 CryptoWall가 있는데 현재 가장 빈번하게 사용되고 있는 랜섬웨어이다. 2016년 4월 카스퍼스키에서 복호화툴을 만들면서 이 종류의 랜섬웨어가 주춤하는가 싶었으나 변종이 등장하면서 복구하기가 매우 힘들어졌다.

Cerber 계열 또한 피해가 급증하고 있는 랜섬웨어의 종류이다. 여기에 감연되면 인터넷이 강제종료되는 현상을 시작으로 .txt, .mp3, .mp4 등의 확장자가 .cerber 확장자로 암호화되고, 암호화된 파일이 있는 폴더에는 “내 파일 복구하는 법”이라는 텍스트 파일과 암호화 되었다는 음성파일, 웹 링크 등이 추가된다. 이러한 문제를 복구 업체에 맡겨도 30% 정도의 낮은 복구율을 보이고 있을 정도로 복구가 힘든 종류이다.

Locky라는 랜섬웨어는 주로 스팸메일을 통하여 유포되며, 가끔씩 자신에게 쓴 메일인 척 위장하는 경우도 있다. 자바 스크립트 파일이 들어있는 압축파일들을 첨부하여 이를 실행 시에 랜섬웨어를 다운로드 및 감염이 시작된다. 감염이 되면 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지를 출력한다.

★★★

랜섬웨어를 막기 위한 확실한 방법은 없지만 예방을 할 수는 있다. 바로 PC와 분리된 저장소에 정기적으로 백업 또는 클라우드 서버에 업로드를 해서 암호화되더라도 문제를 발생하지 않도록 하는 방법이다. 또한 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, 토렌트 등을 통해 내려 받은 파일을 실행 시 주의를 하는 정도가 될 것이다. 백신 소프트웨어를 설치하는 것도 필수이다.

[출처] Expert tips to avoid falling victim to ransomware - Jeffrey Esposito(Kaspersky Lab Daily)

랜섬웨어 공격 기법 <출처: 한국인터넷진흥원>