[스크랩] 랜섬웨어, `이것`이 궁금하다!

랜섬웨어, '이것'이 궁금하다!

- AhnLab 보안정보  2016년 6월 29일 -

9시 뉴스까지 등장한 랜섬웨어. 이제 익숙한 용어가 됐지만 여전히 랜섬웨어가 무엇인지, 어떻게 감염되는지 등을 알고 있는 사람은 많지 않다. 

랜섬웨어에 관해 꼭 알아야 할 내용을 Q&A로 정리했다.

지난 6월 초, TV 뉴스를 통해 국내 유명 온라인 커뮤니티 사이트에서 연휴 기간 동안 랜섬웨어가 유포된 사건이 집중 보도됐다. 또 최근 커뮤니티 사이트나 블로그 등을 통해 랜섬웨어에 감염됐다는 글을 심심치 않게 접할 정도로 ‘랜섬웨어’는 많은 사람들에게 익숙한 용어가 됐다. 그러나 정작 랜섬웨어가 무엇인지, 감염되면 어떤 피해가 발생하는지 모르는 사람들이 많다. 또는 너무 많은 정보가 쏟아지다 보니 오히려 뭐가 뭔지 모르겠다는 사람도 적지 않다. 

이에 랜섬웨어에 관해 꼭 알아야 할 내용을 Q&A로 알기 쉽게 정리했다. 

1. 랜섬웨어란? 랜섬웨어는 악성코드와 다른가? 

랜섬웨어(Ransomware)는 ‘몸값’을 뜻하는 영어 단어 'ransom'과 하드웨어 또는 소프트웨어 등을 의미하는 'ware'의 합성어로, ‘파일을 인질로 잡아 몸값을 요구하는 악의적인 소프트웨어’를 의미한다. 즉, PC에 저장된 파일들을 암호화하여 사용자가 읽을 수 없는 문자들로 바꿔버린 후, 암호화를 풀어주는(복호화) 대가로 금전(몸값)을 요구하는 악성코드를 통칭 랜섬웨어라고 부른다. 

2. 랜섬웨어는 어떻게 감염되나? 

랜섬웨어는 다른 악성코드와 마찬가지로 다양한 방법으로 유포되어 사용자 PC를 감염시킨다. 주로 악의적으로 제작된 이메일의 첨부 파일을 실행하거나 이메일 본문 또는 메신저, SNS 등에 포함된 악성 단축 URL을 클릭했을 때 감염될 수 있다. 보안이 취약한 웹사이트 및 커뮤니티의 게시물을 통해 감염되는 사례도 있다. 또 취약점 관리가 잘 되어 있는 웹사이트의 경우라도 각 게시물의 상/하/좌/우에 위치한 광고 배너가 보안에 취약하여 랜섬웨어에 감염되는 경우도 있다. 이 밖에도 토렌트 등 파일 공유 사이트를 통해 랜섬웨어가 유포되고 있다.

3. 랜섬웨어에 감염되면 어떤 증상이 나타나나? 

랜섬웨어에 감염되면 문서 파일이나 사진/그림 파일, 음악 파일, 동영상 파일들이 읽을 수 없게 되거나 열리지 않는다. 파일 내용이나 파일명, 파일 확장자가 바뀌거나 확장자 뒤에 특정한 확장자(예: .crypted)를 추가해 파일이 암호화되었음을 드러내기도 한다. 

파일들을 암호화한 후에는 PC 화면에 메시지 창을 띄워 사용자의 자료가 암호화되었음을 알리고, 이를 해제하기 위한 몸값과 몸값을 지불할 수 있는 방법 등을 보여준다. 이 메시지 창은 대부분 암호화된 폴더나 바탕화면을 통해 보여주거나, 사용자가 PC를 부팅할 때마다 나타나도록 시작 프로그램에 등록된다. 

이 밖에도 랜섬웨어 제작자의 의도에 따라 네트워크 접속을 통해 공격자의 명령을 수신하거나 윈도우 백업 서비스를 강제로 종료하는 등의 동작을 수행하기도 한다. 대부분의 랜섬웨어는 암호화를 끝낸 후에는 스스로 자신을 삭제하여 흔적을 제거한다. 

▲ 랜섬웨어 감염 화면

4. 랜섬웨어에 감염되면 어떻게 해야 하나? 또 하지 말아야 할 것은?

랜섬웨어 감염이 의심될 경우, 즉시 공유폴더, USB나 외장하드 등 외부 저장장치의 연결을 해제해야 한다. 랜섬웨어가 암호화를 진행하고 있는 중이라면 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문이다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있다. 

랜섬웨어에 감염된 후 당황하여 PC의 전원을 끄지 않도록 주의해야 한다. 일례로, 최근 발견된 직쏘(Jigsaw) 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 수십~수 천개의 파일을 삭제한다. 따라서 침착하게 감염 알림창에 나타난 메시지를 살펴보고 감염된 랜섬웨어가 무엇인지 파악한 후 안랩 등 신뢰할 수 있는 보안 업체의 홈페이지 등을 통해 제공하는 복구툴이 있는지 확인하는 것이 바람직하다. 

▲ 영화 ‘쏘우(Saw)’의 캐릭터를 모방한 직쏘(Jigsaw) 랜섬웨어 감염 화면

5. 랜섬웨어에 감염되면 모든 파일을 이용할 수 없게 되나?

랜섬웨어에 따라 암호화하는 파일의 종류나 범위가 다양하다. PC 내부에 존재하는 모든 파일을 암호화하는 경우도 있고 개발 소스나 문서 파일들만 암호화하는 랜섬웨어도 있다. 또 피해자가 감염된 PC를 이용해 몸값(돈)을 지불할 수 있도록 PC내 일부 파일은 암호화 제외 대상으로 지정하는 경우도 있다. 이 밖에도 특정 국가의 PC에서는 동작하지 않도록 설정된 랜섬웨어도 있다. 

6. 랜섬웨어 제작자에게 돈을 지불하면 암호화된 파일을 사용할 수 있나? 

돈을 받은 공격자가 파일 복구에 필요한 열쇠(key)를 반드시 제공하리라는 보장은 없다. 돈을 받은 공격자가 열쇠를 보내주지 않을 경우 암호화된 파일을 복구할 수 없으며, 합법적인 정상 거래가 아니기 때문에 법적으로 보호 또는 보상받을 수 없다. 

한 번 돈을 지불한 피해자는 공격자에게 손쉬운 타깃으로 인식될 수 있다. 공격자가 돈을 받고 일단 암호를 풀 수 있는 열쇠를 제공하더라도 이후 또 다른 범죄 행위를 시도할 우려가 있다. 

따라서 랜섬웨어 피해를 최소화하기 위해서는 사전 예방이 무엇보다 중요하다. 평소 백신 및 OS 업데이트 등 기본적인 보안 조치를 수행하고, 의심스러운 이메일이나 보안이 취약한 웹사이트 방문 시 주의가 필요하다. 중요한 자료는 외장하드 등에 백업해두는 것이 바람직하다. 또한 랜섬웨어에 감염되었을 경우 공격자에게 돈을 지불하기보다는 우선 안랩 등 신뢰할 수 있는 보안 업체가 무료로 제공하는 랜섬웨어 복구툴을 확인해보는 것을 권장한다. 

7. 랜섬웨어에 감염되면 인터넷이나 PC를 사용할 수 없게 되나? 

PC 및 인터넷을 이용할 수 없도록 암호화하거나 윈도우 화면 자체를 잠그고 다른 프로그램 이용을 방해하는 랜섬웨어가 존재하기는 했으나, 최근에는 PC나 인터넷 이용을 방해하는 랜섬웨어는 그리 많지 않다. 피해자가 PC나 인터넷을 이용할 수 없게 될 경우 공격자에게 금전을 지불하기 어렵기 때문인 것으로 보인다. 

8. 보안 회사들이 제공하는 ‘랜섬웨어 복구툴’은 무엇인가? 이것만 있으면 암호화된 파일 복구가 가능한가? 

안랩을 비롯한 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파일을 복구할 수 있는 툴(프로그램)을 제작 및 제공하고 있다. 단, 하나의 복구툴이 모든 랜섬웨어에 대응할 수 있는 것은 아니기 때문에 감염된 랜섬웨어에 대한 복구툴이 있는지 확인이 필요하다. 

안랩은 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 제공하고 있다. 또 암호화 기법이 교묘하게 바뀐 크립트XXX 3.x 버전에 대해서도 일부 파일에 대한 부분 복구가 가능한 복구툴을 제공하고 있으나, 파일 내부의 내용에 대한 모든 복구가 어렵기 때문에 부분적인 복구를 지원하고 있다. 안랩은 지속적으로 랜섬웨어에 대한 다양한 복구 방법을 구현해 나갈 예정이다. 

9. 백신이 있으면 랜섬웨어를 막을 수 있나? 그 밖에 랜섬웨어를 막을 수 있는 방법은?

V3 등 백신 프로그램들은 주요 랜섬웨어 및 최신 랜섬웨어를 탐지 및 차단하고 있다. 랜섬웨어를 비롯한 다양한 최신 악성코드에 의한 피해를 방지하기 위해서는 백신 사용이 필요하며, 특히 백신의 엔진을 최신 상태로 유지할 수 있도록 실시간 업데이트 기능을 활성화해두기를 권장한다. 

그러나 랜섬웨어 피해 방지를 위해 사전 예방이 가장 중요하다. 이와 관련해 한국인터넷진흥원(KISA) 등 관련 기관에서는 기본적인 보안 수칙 준수를 강조하고 있다. 안랩은 랜섬웨어 피해예방을 위한 7대 보안 수칙을 제안하고 있다. 

①백신 소프트웨어를 설치하고 엔진 버전을 최신 버전으로 유지 ②운영체제(OS), 브라우저 및 주요 애플리케이션의 최신 보안 업데이트 적용 ③발신자가 불분명한 이메일의 첨부 파일 실행 자제 ④보안이 취약한 웹 사이트 방문 자제 ⑤업무 및 기밀 문서, 각종 이미지 등 주요 파일의 주기적인 백업 ⑥주기적으로 외부 저장장치를 이용해 중요 파일 백업 ⑦중요 문서에 대해서 '읽기 전용’ 설정 등을 통해 랜섬웨어를 비롯한 악성코드에 의한 피해를 예방할 수 있다. 

안랩은 V3 제품군과 기업용 지능형 위협 대응 솔루션인 AhnLab MDS를 통해 다양한 랜섬웨어 탐지 및 대응 기술을 제공하고 있다. 

V3 제품군에는 다양한 랜섬웨어 행위 진단 룰이 적용되어 있으며, 최근에는 디코이(Decoy) 진단 등 독자적인 진단 기법을 추가 적용했다. AhnLab MDS는 신∙변종 랜섬웨어 등 의심스런 파일이 발견되면 전용 에이전트를 통한 실행보류(Execution Holding) 기능을 이용해 악성코드가 동작할 수 없도록 조치하기 때문에 사전 대응이 가능하다. 또한 MDS는 네트워크 기반의 샌드박스 동적 분석을 통해 랜섬웨어를 포함한 의심스러운 파일을 분석 및 대응한다. 

이 밖에도 안랩은 신∙변종 랜섬웨어 탐지 및 격리 프로그램인 ‘안티 랜섬웨어 툴‘ 베타 버전을 제공하고 있다. 안티 랜섬웨어 툴은 OS 및 프로그램의 취약점을 이용하거나 웹 브라우저를 통해 실행되는 의심스러운 프로세스를 PC 내 가상화 공간에 격리하고 정밀한 룰에 의해 검사한다. 이를 통해 랜섬웨어로 의심되는 프로세스의 실행을 방지해 알려지지 않은 신∙변종 랜섬웨어에 대응할 수 있다.

따라서 기업 환경에 따라 V3와 함께 안티 랜섬웨어 툴이나 AhnLab MDS를 함께 이용할 경우 고도화되는 랜섬웨어에 대해 더욱 강력한 멀티레이어드 대응(Multi-Layered Detect and Response)이 가능할 것으로 보인다. 또한 랜섬웨어 감염에 의한 피해를 줄이기 위해서는 사용 중인 V3의 엔진을 항상 최신 업데이트 상태로 유지해야 하며, MDS 이용 고객은 실행보류 기능을 적극 활용하는 것이 좋다. 

한편, 안랩은 자사 홈페이지의 ‘랜섬웨어 보안센터’를 통해 최신 랜섬웨어에 관한 자세한 정보와 복구툴 등을 제공하고 있다. 

- AhnLab  ASEC 대응팀 박태환 팀장 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25176>

출처 : Irene의 스크랩북

글쓴이 : Irene 원글보기

메모 :