랜섬웨어 공격과 이에 대한 대처 방법

요즘 랜섬웨어에 대한 뉴스를 참 쉽게 접할 수 있다. 그런데도 랜섬웨어가 무엇인지, 랜섬웨어 공격이 얼마나 무시무시한 일인지 아는 사람은 아직도 소수에 불과하다.

이 기사에서는 랜섬웨어로부터 스스로를 보호할 방법과 공격을 당한 경우 대처 방법에 대해 나눠보고자 한다.

랜섬웨어란 무엇일까?

랜섬웨어는 멀웨어의 한 종류로 피해자로부터 몸값(Ransom)을 뜯어가는 악성코드이다. 대부분의 랜섬웨어는 사용자의 시스템에 조용히 숨어들어 천천히 사용자의 파일을 암호화하도록 설계되어 있다. 암호화를 마친 랜섬웨어는 사용자에 데스노트를 보낸다 – 몸값을 지불하거나 귀중한 파일을 잃거나, 하나를 선택하라고.

어떠한 보안 시스템도 완벽하게 사용자를 보호할 수 없다. 멀웨어는 항상 한 발짝 앞서 행동하기 때문이다. 그래서 아래에 랜섬웨어의 공격에 당한 경우에 참고할 수 있는 행동지침을 소개하려 한다.

1단계: 피해를 최소화하기

먼저, 감염된 시스템을 격리해라. 특히, 감염된 시스템이 당신의 네트워크와 연결되어 있다면 빠르게 격리 조치를 취해 다른 시스템마저 감염되지 않도록 해야 한다.

만약 당신이 IT 관리자인데 당신의 서버가 감염되었다면, 당장 모든 이더넷 케이블을 분리 시켜라.

이때, 외부 디스크에 파일을 복사하는 방법으로 백업 시도를 하지 않기를 바란다. 아직 암호화되지 않은 파일을 보호할 훌륭한 방법으로 생각할 수 있지만, 이는 사실 오히려 멀웨어를 더욱 확산시키는 방법이다. 감염된 디스크나 USB를 삽입할 경우, 멀웨어는 옮겨갈 수도 있기 때문이다.

그리고 이렇게 감염된 디스크와 USB가 다른 컴퓨터에 연결될 경우, 멀웨어는 해당 컴퓨터와 시스템마저 감염시킬 수 있다. 최악의 경우, 겨우 멀웨어를 다 제거한 본인의 시스템이 재감염되는 상황이 발생할 수 있다. 그러므로 감염된 컴퓨터를 격리하는 방법이 최고의 방법이라 할 수 있다.

2단계: 랜섬웨어의 종류를 파악하라

랜섬웨어에도 여러 가지 종류가 있으며, 어떤 것들은 더욱 위험하고 해결이 어렵다. 랜섬웨어의 종류와 공격 특성에 따라, 이를 제거하는 방법이 다르다. 그렇다면 가장 대중적인 종류를 아래에서 살펴볼까.

  1. 스케어웨어(Scareware)/가짜 안티바이러스
    가짜 안티바이러스라는 이름으로도 유명한 스케어웨어(Scareware)는 사용자가 자신의 시스템에 문제가 생겼다고 믿게 만드는 멀웨어이다.
    사용자는 멀웨어를 제거하기 위해 다른 소프트웨어를 구매해야 한다고 믿는다. 실은 자신의 시스템은 아무 문제도 없을뿐더러, 구매한 소프트웨어로 인해 감염이 발생하는데도 말이다.
    대부분의 경우, 경고 메시지가 팝업되는 형식을 띤다. 경고 메시지는 바이러스가 발견되었다든지, 시스템이 느려졌다든지, 레지스트리 문제를 해결해야 된다든지 등의 이유를 담고 있으며 스크린 중앙에 크고 굵은 글씨로 표시된다. 또, 팝업창을 닫은 후 멀웨어 웹 사이트로 사용자를 유도하는 기능이 주로 포함되어 있다. 아래 예시 이미지를 살펴보자.
    스케어웨어는 아마 가장 대처하기 쉬운 멀웨어일 것이다. 우선 열려있는 브라우저 탭을 닫으면, 팝업창은 곧장 사라진다. 운영체제 스크린에 팝업창이 뜬 경우에는, 작업 관리자나 고급 프로세스 익스플로러를 이용해 문제가 되는 실행 파일을 알아내야 한다. 이후에 해당 파일을 삭제해야 한다. 이후에도 계속에서 문제가 발생한다면, 안티바이러스나 안티멀웨어 프로그램을 이용해 검사를 해야 한다.
  2. 스크린 락(Screen lock) 랜섬웨어
    이 랜섬웨어는 사용자가 몸값을 내기 전까지 컴퓨터를 사용할 수 없도록 한다. 대부분의 경우, 윈도우 창 전체에 경고문이 뜬다. 이 경고문은 FBI인 척하면서 불법 콘텐츠 다운로드로 인해 본 경고문이 발생했다며 능청스러운 거짓말을 던진다. 어떤 경우에는, 매우 외설적인 이미지가 배경화면으로 설정된 후 사용자가 이를 스스로 변경할 수 없도록 하기도 한다. 수치심을 느낀 피해자들이 문제 해결을 위해 재빨리 몸값을 지불하도록 하는 것이다. 보다 심화된 악성프로그램의 경우, 공격 대상인 피해자의 활동을 며칠간 감시한 후 보다 맞춤화된 경고문을 띄워, 피해자가 이 메시지를 믿게끔 하는 전략을 사용한다. 아래 하나의 예시를 살펴보자:
    만약 이런 랜섬웨어에 감염되었다면, 먼저 어디에서 감염되었는지 원인을 찾도록 해라. 대부분의 경우, CTRL + ALT + DEL 키를 통해 작업 관리자에 들어가 감염된 파일을 강제 종료할 수 있다.
    문제가 된 실행 파일을 삭제한 후에도, 남아 있는 악성코드를 뿌리 뽑기 위해서 안티바이러스 프로그램을 실행해 컴퓨터를 한번 훑는 것이 좋다. 만약 이 방법이 작동하지 않는다면, 윈도우 재복원 과정을 거쳐, 멀웨어 감염 이전의 상태 혹은 휴면 상태로 되돌려야 한다.
  3. 파일 암호화 랜섬웨어
    마지막으로 소개할 가장 위험한 랜섬웨어는 사용자의 모든 파일을 암호화한 후 몸값을 지불하기까지 사용할 수 없도록 만드는 분류이다. 주로, 이들은 피해자의 시스템으로 잠입해 모든 파일을 사용할 수 없도록 단계적으로 암호화한다.
    암호화를 마친 후, 이들은 파일 해독을 위해 몸값을 요구한다. 요즘 비트코인 같은 암호화폐(crypto currency)가 제공하는 익명성 등 공격자들이 몸값을 지불받을 때 선호하는 훌륭한 수단이 되고 있다. 아래 이미지는 워너크라이 사태 시 피해자들이 마주한 스크린의 이미지이다:
    암호화 과정에 대한 정확한 이해는 이 사태를 해결하는 데 도움이 될 것이다. 파일을 해독하는 작업에 대한 실마리를 얻을 수 있기 때문이다.
    대부분의 이런 악성 프로그램은 대칭 암호와 비대칭 암호를 섞어 사용한다. (암호화 유형에 대해 더욱 자세히 알고 싶다면 여기 를 클릭하자) 대칭 암호는 공격자들이 비대칭 암호보다 빠르게 파일을 암호화할 수 있어 유용하게 쓰인다. 하지만 대칭 암호를 사용할 경우 공격자들은 하나의 개인 키를 가질 수 있다. 그렇지 않을 경우, 공격자들은 모든 피해자들에 대칭 키를 가져야 한다.

명령 및 제어 서버(C&C)는 주로 프로그램 간 통신에 사용된다. 이는 파일 암호화 랜섬웨어가 공격 시 대칭 및 비대칭 암호화에 사용하는 방법이기도 하다.

  • 개인-공용 키는 공격자 편에서 생성되는데 RSA-256 같은 다양한 비대칭 암호화 알고리듬을 사용한다.
  • 개인키는 공격자에 의해 보호되지만, 공용 키의 경우 랜섬웨어 프로그램에 내장된다.
  • 새로운 희생양은 랜섬웨어에 의해 감염된다. 정보들은 고유 시스템 ID 혹은 희생자의 ID를 따라 명령 및 제어 서버(C&C)로 보내진다.
  • AES 같은 대칭 암호화 알고리듬을 사용하여, 서버는 피해자 시스템만을 위한 대칭 키를 생성 및 전송한다. 대칭 키는 개인 키를 사용해 암호화된다.
  • 랜섬웨어 프로그램은 내장된 공용 키를 이용해 대칭 키를 해독한다. 이후 피해자의 모든 파일은 암호화한다.

이제 당신은 랜섬웨어가 어떻게 작동하는지 정확히 파악했다. 그렇다면 지금부터는 당신의 시스템이 감염되었을 경우, 취할 수 있는 옵션에 대해 살펴볼까.

3단계: 대처 방법 선택하기

앞서 소개한 두 랜섬웨어의 경우 감염된 파일만 삭제하면 된다고 이미 설명했다.

파일 암호화 랜섬웨어의 경우 문제 해결이 보다 복잡하다. 먼저, 당신은 어떤 종류의 멀웨어에 공격을 당했는지 알아야 한다. 날마다 새로운 멀웨어가 생성되고 있기 때문에, 만약 최근에 새로 개발된 멀웨어라면 이에 대한 정보는 턱없이 부족할 것이다. 하지만 대부분의 경우에는 조금만 조사하면, 어떤 유형의 멀웨어인지 알아낼 수 있다.

랜섬웨어 메시지를 받은 경우, 해당 이미지를 저장하고 이를 이용해 어떤 유형의 랜섬웨어인지를 조사하도록 하자. 메시지 안에 적힌 구문을 검색해보는 것도 한 방법이다.

다음으로 몸값을 지불할지 말지를 결정하라. 비록 몸값을 지불하는 행위가 더 많은 공격자를 양성하는 계기가 될 수 있기에 추천하고 싶지는 않지만, 때론 당신이 잃을 정보의 가치는 너무나 클 수도 있기 때문에 무조건 몸값을 지불하지 마라고 하기도 어렵다. 이성적으로 판단하여, 꼭 필요한 경우가 아니라면 몸값을 되도록 지불하지 않도록 하라.

단, 최악의 시나리오로 몸값을 지불했음에도 잃은 정보를 되찾지 못하는 경우가 있다는 사실을 잊지 말자.

4단계: 조취 취하기

당신의 컴퓨터를 감염시킨 랜섬웨어의 세부 사항까지 파악했다면, 웹 검색을 통해 어떻게 이를 제거할지를 알아보자. 대부분의 멀웨어 코드는 비효율적이다. 많은 멀웨어 개발자가 해당 파일을 해독하는 데 사용될 멀웨어 암호화 키를 삭제하는 것을 잊기 때문이다.

당신을 공격한 랜섬웨어가 이미 꽤 알려진 데다가 수많은 허점이 있다면, 이에 대한 제거 방법이 상세히 적힌 온라인 튜토리얼과 가이드를 찾아볼 수 있다. 이때, nomoreransom.org 란 사이트를 참고해보자.

많은 랜섬웨어 프로그램이 사본을 생성한 후 원본 파일을 삭제하기 때문에, 데이터 회복 소프트웨어를 이용해 원본 파일을 복구하는 작업이 가능할 수도 있다. 파일이 삭제될 때, 다른 파일에 의해 덮어쓴 경우가 아니라면 디스크에서 물리적으로 삭제되지 않기 때문이다. 그러므로 무료 복구 소프트웨어를 이용해 중요한 데이터를 되찾을 가능성이 있는 것이다.

만약 이 모든 방법에도 파일을 되찾을 수 없었다면, 이제는 결정을 내려야 할 때이다. 몸값을 지불하거나 당신의 데이터를 잃거나, 양자택일을 해야한다. 하지만 몸값을 지불한 경우에도, 당신의 데이터를 반드시 찾을 수 있는 것은 아니다. 몸값을 지불한 경우에는 공격자가 양심적으로 파일을 돌려줄 것을 믿어야 한다.

혹은 랜섬웨어 메시지에 적힌 이메일 주소를 이용해 공격자와 협상을 시도할 수도 있다. 이러한 협상이 흔하게 발생하고 있다.

만약 몸값을 지불하지 않기로 결정했다면, 당신이 마주할 다음 단계는 당신의 PC를 모두 포맷하는 일이다. 다만 당신의 데이터는 영원히 사라질 것이다. 만약 외부 디스크에서 백업해야 한다면, 당신의 PC를 완전히 포맷하기 전에는 절대로 외부 디스크를 PC에 연결해서는 안 된다.

랜섬웨어를 완전히 제거할 최고의 방법은 당신은 운영체제(OS)를 완전히 포맷하는 것이다. 이를 원치 않을 경우, 랜섬웨어가 부트 섹터는 감염시키지 않았음을 반드시 확인해야 한다. 이에 대한 자세한 정보는 인터넷에서 쉽게 찾을 수 있다.

다음으로, 안티바이러스 프로그램을 업데이트하고 당신의 시스템을 자세히 스캔하라. 완벽한 보호를 위해서 안티바이러스에 안티멀웨어 프로그램을 함께 사용하는 것도 좋은 방법이다. 이로써 랜섬웨어를 영원히 당신의 컴퓨터에서 내쫓을 수 있다.

5단계: 정리하기

랜섬웨어를 완전히 제거했다면, 이제는 애초에 왜 당신이 공격을 당했는지 이유를 파악해야 할 때다. “예방이 치료보다 낫다”는 속담은 온라인 보안에 특히나 들어맞는다. 방어는 사용자가 적절한 예방 조치를 취할 때 더욱 효력을 발휘하기 때문이다. 이런 사용자에는 어떤 멀웨어도 쉽게 공격에 성공할 수 없다.

늘 경계를 늦추지 말고, 아래 수칙을 기억하고 지키자:

  1. 항상 안티바이러스 프로그램을 최신으로 업데이트하자.
  2. 방문하는 웹 사이트 URL을 반드시 확인하자.
  3. 믿을 수 없는 프로그램은 시스템에서 실행하지 말자. 시스템 균열, 시리얼, 패치 등은 가장 흔한 멀웨어 침투 경로이다.
  4. 믿을 수 없는 사이트의 콘텐츠를 브라우저에서 실행하지 말자. (멀웨어는 자바 드라이브라고 알려진 기술로부터 발생할 수 있다)
  5. 운영체제를 항상 최신 상태로 업데이트하자. 랜섬웨어를 포함한 멀웨어는 보안 취약성에 대해 제대로 조치를 취하지 않은 운영체제를 통해 퍼지는 경향이 있다. 예로, 어떤 해커는 윈도우 RDP 소프트웨어에 버그를 개발해 시스템이 공공 인터넷에 연결되었을 때 접근한 후 멀웨어를 퍼트릴 수 있다.
도움이 되었나요? 공유하세요!
페이스북에 공유하기
0
트윗하기
0
Google이 귀하에 대해 잘 모른다고 생각하시면 공유하세요
0