Exma Logo V2 200px

작성자 PG의 글

랜섬웨어란?

Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 악성코드가 PC에 존재하는 중요한 자료들을 암호화하여 사용하지 못 하도록 한 후, 만약 암호화된 파일을 복구하려면 피해자로 하여금 돈을 지불하도록 강요하는 악성코드를 의미한다.

– Ahnlab 블로그 발췌

랜섬웨어(Ransomware)에서 사용하는 암호화는 본래 보안을 위한 암호화 기술로 공개키와 비공개키를 조합한 암호화 방식입니다.

웹에서 사용하는 SSL/TLS와 같은 방식의 암호화 기술로 타겟의 컴퓨터에 공개키를, 해커 서버에 비공개키를 저장해 사용자의 주요 파일들을 암호화해 인질로 삼은 다음 돈을 요구하는데요.

여기서 암호화 되는 파일의 종류는 jpg,png,pdf,psd,xls,doc(x),hwp등 우리가 컨텐츠를 생산할때 생성하게 되는 파일들이기 때문에 울며 겨자먹기 식으로 해커에게 요구하는 금액을 지불할수 밖에 없는 것입니다. (금액을 지불했음에도 복호화 키나 프로그램을 주지 않는 경우도 있다고 합니다.)

현재 알려진 랜섬웨어 종류로는 크립토락커(Cryptolocker), 크립토월(CryptoWall), CTB락커(CTBLocker)등이 있으며 우리나라를 타겟으로한 한글화된 랜섬웨어 또한 존재하고 있습니다.

윈도우 뿐만 아니라 리눅스에서도 랜섬웨어가 보고되었다고 하니 맥 OSX 또한 자유롭지 못할 것이며 이에 파생된 운영체제들(모바일 포함) 까지 합하면 거의 모든 플랫폼의 문제라고 볼수 있습니다.

ransomware_cryptolocker
출처:구글 이미지

랜섬웨어 감염 경로

크립토락커의 경우 2013년경 이메일을 통해 유포되었고 최근 유명 커뮤니티 사이트의 광고 스크립트 변조로 유포되어 사용자의 플래시/자바/브라우저등 웹 애플리케이션의 취약점과 운영체제의 취약점을 이용해 감염시켰습니다.

감염된 컴퓨터는 앞서 얘기했던 파일을 암호화 하고 확장자를 특정 문자로 바꿔버린 다음 안내창을 통해 감염 확인과 금액 요구 페이지를 사용자에게 보여줍니다.

랜섬웨어는 단순히 해당 시스템의 파일만을 암호화 하는것이 아닌 권한을 획득한 모든 연결 경로(외장디스크,네트워크)를 감염시키게 되므로 특히 주의가 필요합니다.

랜섬웨어 예방

windows_update
  • 플래시, 자바(java), 운영체제를 항상 최신으로 업데이트
  • 랜섬웨어 대응 가능한 백신 설치
  • 가상화 기술을 이용해 격리된 환경에서 다운로드 받은 파일 검증

랜섬웨어를 예방하기 위해선 앞서 얘기했던 애플리케이션과 운영체제 취약점에 대해 업데이트가 되어 있어야 하며 토렌트등을 이용해 크랙 게임/소프트웨어를 받아 설치하는 경우도 사용자에 의해 감염될수 있는 확률이 매우 높으므로 불법 소프트웨어를 사용하지 않아야 합니다.

부득이하게 데이터를 공유하거나, 공유 받는 경우엔 가상화 기술을 이용해 운영체제를 설치하고 네트워크와 디스크 공유가 되지 않는 별도의 환경에서 다운로드 받아 검증을 거친 후 사용하는 방법도 있습니다.

윈도우 사용자의 경우 사용자 계정 컨트롤(UAC)를 기본값으로만 사용해도 랜섬웨어가 자동으로 실행되는 부분을 막을수 있습니다.

물론 UAC 취약점을 이용한다면 무용지물이겠지만 랜섬웨어 뿐만 아니라 맬웨어에서도 어느정도 통용되니 약간의 불편을 감수하더라도 개개인이 보안에 신경을 써야 겠습니다.

윈도우 랜섬웨어의 대응 백신으로는 카스퍼스키(Kaspersky)가 유명하며 개인용 무료 프로그램으로는 앱체크(AppCheck)가 있습니다.

NAS(홈서버)를 운용하고 있을 경우 홈서버 특성상 사용자가 관리자의 권한을 가지게 되고 관리자 계정으로 사용하게 되는데 관리자와 사용자의 계정을 분리하고 사용자의 계정끼리 폴더를 공유하지 않는 격리된 환경에서 사용하는 것이 좋습니다.

백업 같은 경우 외장 하드디스크를 이용해 백업하고 물리적으로 연결을 끊는 방식으로 진행하면 주요 데이터 손실을 최소화 할수 있습니다.

랜섬웨어에 걸렸을 경우

kaspersky_ransomware_decryptor

랜섬웨어 감염 초기에는 시스템의 파일을 암호화 하기 위해 조용히 작업을 진행하게 됩니다.

이때 사용자가 감지할수 있는 것은 컴퓨터를 사용하는 것에 비해 리소스를 많이 사용하고 있을 경우(CPU 사용량, 메모리 점유율) 의심해 볼수 있으며 랜섬웨어에 걸렸다고 판단되었을 때는 우선 인터넷 선을 뽑아 오프라인 상태로 만들어 네트워크나 외장디스크의 2차 오염을 막습니다. 그리고 아래에 해당되는 랜섬웨어 복구 툴을 통해 복구를 시도합니다.

참고 문서

  • Ahnlab 블로그 – http://asec.ahnlab.com/m/post/1029, http://asec.ahnlab.com/m/post/1030