인터넷이 발전되면서 악성코드도 발전하게 됐다. 단순히 컴퓨터가 느려지거나 특정 광고창이 뜨는 수준에서 컴퓨터를 사용불능 상태로 만드는 수준까지 다양하다. 최근에는 ‘랜섬웨어’라는 신종 악성코드가 나타나 사용자들에게 심각한 불편을 끼치고 있다.

 

랜섬웨어는 컴퓨터에 저장된 파일을 암호화해서 인질로 삼는다. 사용자가 가지고 있는 정보 또는 파일이 얼마나 중요하고 소중한 것인지는 중요하지 않다. 그 내용도 중요하지 않다. 오로지 돈을 목적으로 한다. 당신의 돈을 노리는 랜섬웨어에 대해 알아보자.



랜섬웨어란?

랜섬웨어(Ransomware)는 Randsom(몸값)과 Ware(제품)의 합성어로 ‘파일을 인질로 잡아 몸값을 요구하는 악의적인 소프트웨어’를 의미한다.

컴퓨터에 무단으로 설치돼 컴퓨터에 저장된 파일을 암호화한 후, 암호화를 풀어주는(복호화) 대가로 돈을 요구하는 악성코드를 통칭 랜섬웨어라고 부른다.

지난 6월 대형 온라인 커뮤니티를 통해 유포된 ‘크립트XXX(CryptXXX)’가 대표적이며 ‘록키(Locky)’, ‘케르베르(CERBER)’ 등이 있다. 이들은 계속해서 업데이트되고 있다. 또 컴퓨터 바탕화면에 있는 모든 파일을 암호화하는 ‘아이랜섬(iRansom)’도 등장했다. 한글 버전도 나타났으며 컴퓨터뿐만 아니라 스마트폰용 랜섬웨어도 발견되고 있다.

랜섬웨어 증상

랜섬웨어로 암호화된 파일은 일반적인 txt, xls, doc 확장자가 아닌 ZEPTO, CERBER,SHIT, THOR와 같은 확장자로 변해 있다.

컴퓨터 화면에 ‘비용을 지급하면 해독용 열쇠프로그램을 전송해준다’라는 메시지 창을 띄워 사용자의 자료가 암호화됐음을 알리고, 이를 해제하기 위한 돈을 지불할 수 있는 방법 등을 보여준다.

보통 추적이 안되는 비트코인(BTC)으로 요구하며, 48시간 이내 0.5BTC(약 44만원)~3BTC(약 264만원) 정도 금액을 요구한다.

랜섬웨어 감염이 의심될 경우, 즉시 외장하드나 공유폴더의 연결을 해제해야 한다. 랜섬웨어가 암호화를 진행하고 있는 중이라면 컴퓨터에 연결된 외장하드나 공유폴더의 파일들도 암호화될 수 있기 때문이다.



돈을 지불하면 키를 받을 수 있나?

제작자가 돈을 받은 후 복호화에 필요한 열쇠프로그램을 제공한다는 보장은 없다. 돈을 받은 제작자가 열쇠를 제공하지 않으면 암호화된 파일을 복구할 수 없다. 이럴 경우에 합법적인 거래가 아니기 때문에 법적으로 보호나 보상을 받을 수 없다.

돈을 받고 일단 암호를 풀 수 있는 열쇠를 제공받더라도 이후 범죄에 노출될 확률이 높아져 또 다른 범죄의 타겟이 될 수도 있다.

랜섬웨어 감염경로

랜섬웨어는 다른 악성코드와 마찬가지로 다양한 방법으로 유포된다.

주로 이메일 첨부 파일이나, 메신저, SNS 등으로 유포된 URL을 클릭했을 때 유도된 사이트나 보안에 취약한 웹사이트의 게시물이나 광고 배너를 통해 감염되는 경우도 있다. 또 토렌트, P2P 등의 파일 공유 사이트를 통해서도 랜섬웨어가 유포되고 있다. 랜섬웨어는 네트워크를 타고 급속도로 확산한다. 변종이 나타나는 속도도 빠르고, 유포 경로 역시 다양해지고 있다.

랜섬웨어 예방방법

백업이 제일 중요하다. 업무나 중요한 파일은 주기적으로 다른 PC나 외장 저장장치에 백업을 해야 한다. 윈도나 백신의 업데이트도 필수다. 발신자가 불분명한 이메일의 첨부파일은 다운받지 않도록 하고, 보안이 취약한 웹 사이트 방문을 자제하는 것이 바람직하다. 중요 문서에 대해서는 ‘읽기 전용’으로 설정해야 악성코드에 의한 피해를 예방할 수 있다.

바이로봇사와 멀웨어바이트(Malwarebyte)사에서는 랜섬웨어를 사전 차단할 수 있는 보안 프로그램 ‘안티 랜섬웨어’를 배포하고 있다. 랜섬웨어 특유의 행동 양식을 검출하는 방식으로 사전 차단할 수 있으며, 기존에 사용 중인 안티바이러스 백신 프로그램과 동시에 사용 가능하다.

랜섬웨어 치료방법

현재로서 랜섬웨어의 정확한 치료방법은 없다. 랜섬웨어는 한 가지의 악성 프로그램이 아니라 다양한 변종 버전이 많고, 만든 이에 따라 복호화 방법이 달라 치료가 어렵다. 제작자가 복호화 키를 공개했거나 바이러스 업체가 복호화 키를 찾아낸 경우에는 해당 파일을 정상화시킬 수 있다.

주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 파일을 복구할 수 있는 툴을 제작 및 제공하고 있다. 하지만 하나의 복구 툴이 모든 랜섬웨어에 대응할 수 있는 것은 아니기 때문에 감염된 랜섬웨어를 확인하고 그에 대한 복구 툴이 있는지 확인이 필요하다.

id-ransomware.malwarehunterteam.com 사이트에서는 감염된 랜섬웨어의 종류를 식별해 랜섬웨어 정보와 해결 방법을 제시하고 있다.

안랩은 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x, 3.x 일부 랜섬웨어에 대한 복구 툴을 제공하고 있다.

카스퍼스키랩은 크라이시스(Crysis) 랜섬웨어 무료 복호화 툴을 제공한다. 카스퍼스키랩은 크라이시스 랜섬웨어 암호화 키 공개 후, 피해자들이 비용 지불 없이 데이터를 되찾을 수 있도록 ‘라크니 디크립토(Rakhni decryptor)’ 복호화 툴을 공개하고 있다.

박진욱 기자 jinux@knnews.co.kr