랜섬웨어란 무엇이고 어떻게 예방해야 할까?

이번에 검색어에 오르고 있는 ‘워너크라이' 랜섬웨어는 인터넷 연결만으로도 감염되는 바이러스로 기존의 랜섬웨어보다 더 진화된 형태를 보이고 있습니다. 그래서 전세계 100여개국에서 연이어 피해가 발생하고 있는 실정입니다. 그렇다면 랜섬웨어란 무엇이고 우리는 어떻게 대처해야 할까요?

 

랜섬웨어란?

'랜섬웨어'란 '몸값(ransome)'과 '제품(ware)'의 합성어로 컴퓨터 또는 스마트폰 사용자의 개인적인 문서를 인질로 잡고 돈을 요구하는 악성 프로그램의 일종

 

랜섬웨어 역사

 지난 2015년 4월, 인기 커뮤니티 사이트를 방문한 사용자 컴퓨터에 이상한 현상이 발생했습니다. 갑자기 컴퓨터 시스템에 접근할 수 없게 되거나, 저장한 사진과 문서 파일 등을 열 수 없는 일이 발생했죠. PC뿐 아니라 PC에 연결된 외장형 하드디스크 드라이브(HDD), 네트워크 드라이브로 연결된 서버, 퍼블릭 클라우드 스토리지 서비스, 문서 중앙화 시스템 속 데이터까지 사용자가 모르는 사이에 잠겨있었습니다. 하루 아침에 갑자기 컴퓨터에 저장된 모든 데이터를 볼 수 없는 일이 발생한 것이죠. 이른바 ‘랜섬웨어(ransomware)’로 유명한 ‘크립토락커(CryptoLocker)’ 바이러스에 PC가 감염돼 모든 데이터가 암호화 된 탓이었습니다.

 

랜섬웨어 역사는 10년이 넘습니다. 과거에는 주로 사용자 PC 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 식이었는데, 당시엔 공격자가 걸어놓은 암호화 수준이 낮아 복호화 방법을 통해 쉽게 데이터를 복구할 수 있었습니다.

 

그러나 비트코인이 등장하면서 2013년 하반기에 강력한 암호화 알고리즘으로 파일을 암호화하고 돈을 요구하는 랜섬웨어 ‘크립토락커’가 등장하면서 상황이 달라졌습니다.

크립토락커는 사용자 PC에 저장돼 있는 문서나 사진 파일을 공개키 암호화 방식인 ‘RSA-2048’로 암호화합니다. 그런 다음 피해자에게 ‘암호 해독키를 원하면, 지정한 기한 안에 돈을 송금하라’고 협박하죠. 공격자는 기한 안에 돈을 보내지 않으면 파일을 모두 복구할 수 없도록 만들겠다고 압박하고, 돈 역시 비트코인으로 받았기 때문에 범인 추적이 어려워졌습니다. 헌데 비트코인으로 지불을 해도 복구를 보장받을 수 있는 것은 아니기에 절대로 돈을 줘서는 안된다고 합니다. 

 

이렇게 크립토락커가 등장하면서 컴퓨터 암호화 방식이 랜섬웨어의 대세로 자리잡기 시작했습니다. 그러면서 보다 어려운 알고리즘으로 암호화해서 사용자 데이터를 인질로 삼는 다양한 랜섬웨어가 등장한 것입니다. 

 

랜섬웨어 감염경로

 랜섬웨어는 이메일, 웹사이트, P2P 사이트 등을 통해 주로 퍼집니다. 사용자 눈에 띄는 게 아니라 파일 또는 오피스 문서파일에 숨어 빈틈을 노립니다. 헌데, PC만 랜섬웨어에 감염되는 것은 아니라고 합니다. 최근 랜섬웨어는 영역을 확장해 안드로이드 스마트폰 데이터까지 위협하고 있는 상황이죠.

 

특히 ‘신뢰할 수 없는 사이트’를 통해 랜섬웨어가 퍼지는 경우가 많은데, 이 경우 단순히 홈페이지를 방문하는 것 만으로도 랜섬웨어에 감염돌 수 있습니다. 일명 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 이용해서입니다.

 

드라이브 바이 다운로드는 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨기고, 이 악성코드를 사용자가 자신도 모르게 내려받아 실행해 감염되는 방식입니다.

 

이메일도 안심할 수 없습니다. 출처가 불분명한 이메일, 첨부파일, 메일 웹주소(URL)를 통해 사용자 PC를 감염시키기도 합니다. 사용자가 이메일을 열어보도록 유도하기 위해 마치 아는 사람인 것처럼, 알아야 하는 정보인 것처럼 제목을 달아 속이기도 합니다.

파일공유 서비스 ‘토렌트(Torrent)’나 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 주고받을 때도 랜섬웨어에 감염될 가능성이 높습니다.

 

최근에는 페이스북이나 링크드인 같은 사회관계망 서비스(SNS)를 이용해 사용자 PC를 감염시키는 경우가 있는데, 해당 SNS 올라온 단축 URL이나 사진을 이용해 랜섬웨어를 유포하는 것으로 알려져있죠.

 

위에서 언급한 것처럼 이번 워너크라이 랜섬웨어는 인터넷 접속만으로 감염이 가능하다고 합니다. 따라서 미리 예방하지 않는다면 언제든 누구나 감염될 수 있다는것입니다. 

 

랜섬웨어 예방법

현재 창궐하고 있는 랜섬웨어는 50종이 넘습니다. 랜섬웨어 유포 방식도 이메일, 메신저, SNS 등 다양합니다. 때문에 모든 랜섬웨어로부터 완벽하게 컴퓨터를 지킬 수 있는 방법은 사실상 없다고 봐야합니다. 철저한 예방만이 내 PC와 데이터를 지킬 수 있기 때문에 랜섬웨어 예방법을 살펴보겠습니다.

 

경찰청 사이버안전국에 따르면, 

▶ 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 정기적으로 백업 또는 클라우드 서버에 업로드해야하고,

▶ 이메일에 첨부된 파일은 지인이 보냈거나 단순 문서 파일이어도 섣불리 실행하지 않는 것이 좋다고 합니다. 

    특히 요청한 자료가 아니면 유선 등으로 발신자와 확인 후 실행하시는 것이 좋습니다. 

▶ 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, 토렌트 등을 통해 내려받은 파일을 실행할 때도 주의해야 합니다. 

▶ 백신 소프트웨어를 설치하고, 항상 최신 버전을 유지하는 게 중요합니다. 

교과서 같은 얘기지만, 지금으로썬 이 방법이 랜섬웨어를 예방하는 가장 좋은 예방법이라고 합니다.

 

그럼에도 불구하고 랜섬웨어에 PC가 감염됐다면, 당황하지 말고 다음과 같은 조치를 취하세요.

1. 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단.

2. 인터넷선과 PC 전원 차단.

3. 증거 보존 상태에서 신속하게 경찰에 신고.

4. 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료 요청.

5. 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용.

6. 평소 해킹 상담, 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr, 전화 118)에서 서비스 제공.

 

 한편, 안랩에서는 워너크라이 랜섬웨어 피해를 예방할 수 있는 '워너크라이 사전 예방 툴'을 무료로 제공한다고 발표했습니다.

 

'워너크라이 사전 예방 툴'은 워너크라이 랜섬웨어가 악용하는 보안 취약점이 PC나 서버 등 시스템 내에 존재하는지 확인하고 악용되는 프로토콜을 비활성화하는 프로그램입니다. 무료이기 때문에 누구나 다운로드 받아 이용할 수 있습니다.

사용자는 추후 변종 등에 대비하기 위해 해당 예방 툴로 예방조치를 취한 이후 V3 등 백신 최신 엔진 업데이트와 실시간 검사를 활성화하고 윈도우 최신 보안 패치를 반드시 적용해야 합니다.

 

또한, 안랩은 현재 개인 사용자를 위해 개인용 V3 제품군, 기업 고객을 위해 기업용 V3제품군, MDS 제품군, TrusLine/EPS, 트러스가드 제품, 트러스가드 IPX 제품, 보안관제 서비스 등에서 워너크라이 랜섬웨어에 대응하고 있는 상태입니다.

 

다음은 안랩에서 발표한 랜섬웨어 예방법 입니다.

PC 사용자 랜섬웨어 예방법

     ▶ 사용 중인 백신 및 소프트웨어(SW) 최신 업데이트 

     ▶ 주기적인 데이터 백업 

     ▶ 보안 취약 사이트 방문 자제 

     ▶ 이메일 내 수상한 파일 실행 금지

 

스마트폰 사용자 랜섬웨어 예방법

     ▶ 문자메시지·소셜미디어(SNS) 내 인터넷주소(URL) 실행 자제 

     ▶ 앱 다운로드 시 공식 마켓 평판 확인 

     ▶ 스마트폰 백신 설치 및 최신 버전 유지 

     ▶ 기기관리자 권한 등록 주의를 권고했다.

 

마지막으로, 대부분 사람들이 OS로 사용하는 윈도우의 경우 정품 윈도우 사용과 함께 자동 윈도우 업데이트 설정을 해두는 것이 좋습니다. 업데이트가 되면 pc사용에 잠시 제한을 받아 업데이트를 미루는 분들이 계시는데, 미리 미리 수동업데이트를 할 자신이 없다면 자동으로 설정을 해두시는 것이 더 나은 선택이라고 생각합니다.

조금 귀찮아더라도 랜섬웨어를 예방하는 습관을 통해서 더 큰 사고를 미연에 방지하시길 바랍니다.