‘갠드크랩’ 등 여전히 기승, 최선의 대응방법은 ‘백업’

[컴퓨터월드] 랜섬웨어의 위협이 계속되고 있다. 암호화폐 이슈와 함께 주목받기 시작한 랜섬웨어는 이미 대표적인 악성코드로 자리집았다. 랜섬웨어가 이처럼 기승을 부리는 이유는 해커들의 주요 수입원이 되기 때문이다.

서비스형 랜섬웨어(RaaS: Ransomware as a Service)의 등장으로 해커가 아닌 사람도 랜섬웨어를 쉽게 유포할 수 있게 된 것도 랜섬웨어에 대한 대응을 어렵게 하고 있다. 랜섬웨어가 고도화·지능화 되는 등 다양한 형대로 발전하고 있는 것 역시 랜섬웨어 피해가 확대되는 이유다.

한국인터넷진흥원은 지난해 랜섬웨어 피해 규모를 1조 5,000억 원으로 추정했다. 2017년 7,000억 원에 비하면 1년 사이 2배 이상 급증한 것이다. 최근 유포되고 있는 랜섬웨어의 사례와 랜섬웨어에 어떻게 대응해야하는지를 알아봤다.


업무의 연속성 해치는 랜섬웨어

랜섬웨어에 대응하기 위한 보안 기업들의 많은 노력에도 불구하고 랜섬웨어는 여전히 활개를 치고 있다. 해커의 주요 수입원이 되고 있기 때문이다. 랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어로, 시스템을 잠그거나, 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다.

랜섬웨어의 역사는 10년이 넘는다. 과거에는 주로 사용자 PC 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어 놓는 방식이었다. 당시엔 암호화 수준이 낮아 데이터를 쉽게 복구할 수 있었다.

그러나 암호화폐 등장 후 강력해진 암호화 알고리즘으로 파일을 암호화하고 암호화폐를 요구하는 ‘크립토락커’가 등장하면서 상황이 변했다. 이후 ‘록키(Locky)’, ‘워너크라이(Wannacry)’ 등 다양한 랜섬웨어가 등장, 사용자들을 괴롭히고 있다.

▲ 국내에서 발견된 랜섬웨어 유형(출처: KISA)

2015년부터 랜섬웨어로 인한 대형 피해 사례는 ▲2015년 인터넷 커뮤니티 클리앙 이용자 집단 감염 등으로 약 53,000명, 1,090억 원 규모 ▲2016년 인터넷 커뮤니티 뽐뿌 이용자 집단 감염 등 약 130,000명, 3,000억 원 규모 ▲2017년 워너크라이 및 에레버스 등 지능형 공격에 의해 약 260,000명, 7,000억 원 규모 ▲지난해 갠드크랩 감염 등 약 300,000명 1조 2,500억 원 규모 등이다.

특히 2017년에는 웹호스팅 기업 인터넷나야나가 랜섬웨어에 감염돼 해커에 약 13억 원 상당의 비트코인을 복호화 비용으로 지불한 사건이 발생했다. 인터넷나야나의 리눅스 서버 153대가 랜섬웨어 ‘에레버스(Erebus)’에 감염돼 피해가 발생한 것이다. 특히 이 사건의 경우 서버에 저장된 원본 데이터뿐만 아니라 내부 및 외부 백업 데이터도 암호화돼 큰 피해로 이어졌다. 당시 해커는 서버당 5.4 비트코인(약 1,750만 원)을 요구헸고, 인터넷나야나 측은 해커와 협상을 통해 약 13억 원의 복호화 비용을 지불했다.

이형택 이노티움 대표 겸 한국랜섬웨어침해대응센터장은 “랜섬웨어는 한국 보안 시장에 큰 파장을 일으켰다. 랜섬웨어 이전까지 기업들은 정보 유출 방지를 중심으로 보안 체계를 구축해왔기 때문에 랜섬웨어 취약할 수밖에 없었다. 랜섬웨어는 데이터를 암호화해 업무의 연속성을 해친다. 최근 기업들은 이에 대응하기 위해 정보유출방지와 랜섬웨어 방어라는 투 트랙으로 보안체계를 구축하고 있다”고 설명했다.

현재 랜섬웨어에 대한 정확한 통계는 알 수 없다. 한국인터넷진흥원(KISA)이 피해 상담 건수를 발표하고 있으며, 이스트시큐리티가 ‘알약’을 통해 차단된 랜섬웨어에 대한 수치를 공개하고 있는 정도이다. 또한 안랩은 ‘V3’을 통해 탐지된 랜섬웨어 샘플 수를 발표하고 있다.

2018년 KISA에 접수된 랜섬웨어 피해 상담 건수는 2,455건으로 집계됐다. 이 수치는 랜섬웨어에 감염된 후 KISA에 신고한 것으로, 랜섬웨어로 인한 피해가 지속적으로 발생하고 있다는 것을 시사한다.

한국랜섬웨어침해대응센터에는 2015년부터 2018년 초까지 약 12,000건의 신고가 접수됐다. 특히 센터에 접수된 신고 건수의 80% 이상이 중소기업, 소상공인, 개인인 것으로 나타났다. 보안 취약 계층일수록 사회공학적 기법을 활용한 랜섬웨어에 감염되기 쉽고, 대응하기 어려운 것으로 분석됐다.

이스트시큐리티는 ‘알약’의 차단기능을 통해 총 139만 6,700여 건의 랜섬웨어를 차단했다고 발표했다. 이는 랜섬웨어가 동작할 때 차단한 수치며, 시그니처 기반의 탐지 및 차단 건수는 더욱 많을 것으로 예상된다.

안랩은 2018년 자사에 신규 접수된 랜섬웨어 샘플 수가 120만여 건에 달했다고 밝혔다. 이는 하루 평균 약 3,300개의 신규 랜섬웨어가 나타났다는 것을 의미한다.


국내 사용자를 타깃으로 한 ‘메그니베르’와 ‘갠드크랩’

랜섬웨어는 우리나라뿐 아니라 전 세계적으로 활개를 치고 있다. 2017년 인터넷나야나 사건에서 알 수 있는 것처럼 랜섬웨어가 해커의 주요 수입원이기 때문이다. 특히 미국에서는 노스캐롤라이나주의 상하수도청이 랜섬웨어 공격을 받은 사건이 있었다.

美 노스캐롤라이나주 상하수도청, 랜섬웨어 공격 받아
허리케인 ‘플로렌스’ 피해 복구 중 랜섬웨어 감염

지난해 10월 미국 노스캐롤라이나주의 온슬로 상하수도청(ONWASA)이 랜섬웨어 공격을 받았다. 온슬로 상하수도청에 따르면, 랜섬웨어 공격은 서버와 개인 PC 등 내부 컴퓨터 시스템을 노린 것으로 보이며, 감염된 시스템은 제한된 기능만 수행할 수 있는 상태가 됐다. 사용자 데이터는 침해되지 않았으며, 수도 공급에도 별다른 차질이 없는 것으로 조사됐다. 다만 일부 데이터베이스에 문제가 생겨, DB를 다시 구축해야할 것으로 보인다고 발표했다.

해당 랜섬웨어 공격은 10월 4일부터 시작됐다. 먼저 여러 가지 형태로 사용되는 멀웨어 ‘이모텟(Emotet)’이 반복적으로 온슬로 상하수도청 시스템을 대상으로 공격을 시도하는 게 탐지됐다. 온슬로 상하수도청은 이모텟 공격시도를 탐지하고, 외부 보안 인력을 섭외하는 등 공격에 대응했다. 그러나 10월 13일 이모텟이 수많은 시도 끝에 ‘류크(Ryuk)’ 랜섬웨어를 드롭하는 데 성공했다.

‘류크’ 랜섬웨어는 표적형 랜섬웨어로 알려져 있으며 2018년 처음 등장했다. ‘류크’ 랜섬웨어가 표적형 랜섬웨어로 분류된 이유는 스팸을 통해 무작위로 퍼지는 랜섬웨어와 달리 맞춤형 공격에만 사용되는 정황이 포착됐기 때문이었다.

‘류크’ 랜섬웨어가 온슬로 상하수도청에 침투했을 때, IT 담당자는 야간 근무를 하고 있었다. 이 담당자는 ‘류크’ 랜섬웨어를 발견하자마자 시스템을 오프라인으로 만들어 긴급 보호 조치를 취했다. 이 조치로 랜섬웨어가 일부 DB 및 파일을 암호화하는데 그쳤다.

오슬로 상하수도청 관계자는 “해커들과 협상하지 않고, 감염된 DB 및 시스템을 다시 구축할 계획”이라며, “최대한 모든 시스템을 정상 복구시키기 위해 노력하고 있다”고 밝혔다.

국내에서는 ‘매그니베르(Magniber)’ 랜섬웨어와 ‘갠드크랩(GandCrab)’ 랜섬웨어의 활동이 두드러졌다. ‘매그니베르’ 랜섬웨어는 윈도우 OS 설치 언어가 한국어인 경우에만 동작하는 등 국내 사용자를 타깃으로 유포된 사례였으며, 특히 지난해 하반기에는 멀버타이징(Malvertising) 기법을 활용해 웹사이트에 접속만 해도 ‘매그니베르’에 감염되는 사례가 있었다.

매그니베르 랜섬웨어, 웹 사이트 접속만으로 감염
멀버타이징 기법으로 유포

▲ 매그니베르 랜섬웨어(출처: 한국랜섬웨어침해대응센터)

지난해 11월 ‘매그니베르’ 랜섬웨어가 다시 증가하기 시작했다. ‘매그니베르’는 주로 멀버타이징 기법을 이용하기 때문에 웹사이트의 광고를 주의해야 하는데, 11월부터 광고가 포함된 웹사이트에 접속하는 것만으로도 감염되기 시작했다.

‘매그니베르’는 대표적인 한국 타깃형 랜섬웨어로 유포 초기에는 한국어 윈도우 시스템을 타깃으로 유포됐다. 2018년 1분기 국내에 집중적으로 유포되면서 상당한 피해를 입혔으며, 3월 안랩이 복호화 툴을 배포하면서 감소하기 시작했다. 그러나 10월부터 감염이 급격히 증가하기 시작했다. ‘매그니베르’는 사용자가 보안 패치를 적용하지 않은 CP에서 광고가 포함된 웹페이지에 접속하면, 광고에 포함된 악성스크립트가 실행돼 감염시키는 방식으로 유포됐다.

안랩 측은 접수된 문의 및 신고 건수를 확인한 결과, 8~9월 대비 10월의 랜섬웨어 관련 상담 건수가 170% 이상 증가했으며, 11월도 이런 추세가 이어지고 있었다고 설명했다. 랜섬웨어를 비롯한 악성코드는 대부분 OS나 애플리케이션의 취약점을 통해 감염된다. ‘매그니베르’ 역시 인터넷 익스플로러의 취약점을 악용해 유포된 것으로 보인다.

지난해 국내에서 가장 주목을 받은 랜섬웨어는 ‘갠드크랩’이었다. ‘갠드크랩’은 대표적인 ‘서비스형 랜섬웨어(RaaS)’ 기반으로, 다크웹에서 판매되고 있다. 유포자는 다크웹에서 ‘갠드크랩’을 구매해 유포하고, 감염시스템 정보, 복호화 키 정보 등을 웹 페이지를 통해 관리한다.

▲ 이스트시큐리티 및 안랩의 랜섬웨어 탐지 비율(출처: KISA)

‘갠드크랩’은 지난해 1월 버전1이 발견된 이후로 현재까지 지속적으로 업데이트 되면서 사용자에게 위협이 되고 있다. 주로 한국어를 기반으로한 피싱 이메일, 파일 다운로드 유도, 멀버타이징 등을 통해 유포되고 있다.

▲ 2018년 갠드크랩 악성코드 타임라인

‘갠드크랩’에 감염되면 사용자의 파일을 사용할 수 없도록 암호화시키며, 확장자는 ‘.GDCB’ 또는 ‘.KRAB’ 등으로 변경된다. 또한 피해자가 감염을 인지할 수 있도록 복구관련 안내 내용이 담긴 랜섬노트를 생성하며, 특정버전에서는 배경화면도 변경시킨다. 암호화된 파일의 복구를 위해 토르(Tor) 브라우저를 설치해야하며, 3,000달러 상당의 대시(DASH) 또는 비트코인을 지불하도록 요구한다.

‘갠드크랩’의 특징은 버전 업데이트가 빠르다는 점이다. 특히 백신 프로그램을 무력화하고, 파일 암호화하는 알고리즘과 암호화 키 생성 및 관리 방식을 변경하는 등 고도화 및 지능화되고 있다. 지난해 1월 버전1이 등장한 후 현재 버전 5.2까지 업데이트됐다. ‘갠드크랩’은 피싱 이메일이 변경됐거나, 랜섬노트 확장자 변경 등 사소한 내용변경사항으로도 버전이 업데이트된다.

김윤근 이스트시큐리티 시큐리티대응센터(ESRC) 차장은 “‘갠드크랩’의 또 다른 특징은 랜섬웨어로 발생한 수익을 개발자와 유포자가 나누는 파트너 프로그램이 마련돼 있다는 점이다. 유포자와 개발자는 랜섬웨어로 인한 수익을 6:4로 나누고 있으며, 대형 구매자의 경우 수익의 70%까지 요구할 수 있는 것으로 조사됐다”면서, “‘갠드크랩’ 개발자는 구매자에게 지속적인 기술지원과 업데이트를 제공하고 있다. 특히 독립국가연합(CIS: Commonwealth of Independent States)에 유포하기 위해서는 구매가 불가능하며, 이를 위반하면 계정이 삭제된다는 조항을 발견했다”고 설명했다.


피싱 이메일, 멀버타이징 등 다양한 방식으로 유포되는 랜섬웨어

‘갠드크랩’ 등 랜섬웨어는 다양한 유포방식을 이용해 공격을 시도하고 있다. 사용자로 하여금 첨부파일을 열어보도록 작성된 이메일을 발송하거나, 웹서버를 직접 구성해 정상파일로 위장한 파일을 업로드해 유포하는 방법 등 정교화 및 고도화된 사회공학적 기법으로 지속적으로 공격을 시도하고 있다.

특히 이메일을 통한 유포는 일반 사용자를 대상으로 광범위하게, 무작위로 배포되고 있다. 사용자가 메일에 포함된 링크나 파일을 클릭해 실행하도록 유도하며, 파일 또는 웹사이트가 열리면서 랜섬웨어에 감염되는 공격 방식이다. 이메일 주소는 실제 사용 중인 주소를 탈취하거나 사칭해 공격에 사용하고 있으며, 본문 내용은 메일 주소를 사용한 사람과 연관된 내용으로 오타없이 정교하게 작성해 정상적인 메일로 보이도록 위장하고 있다. 특히 신뢰할 수 있도록 정부기관이나 기업을 사칭해 유포하고 있다.

악성이메일 유포 사례를 보면, 가장 먼저 나타난 것은 ‘저작권에 위배됐으니 내용을 확인해달라’는 내용으로, 첨부된 파일의 이미지를 열람하도록 유도하고 있다. 본지가 입수한 피싱 이메일을 확인한 결과, 디자이너를 사칭해 ‘저작권을 위반했으니 해당 이미지를 사용하지 말아달라’는 내용을 담고 있었으며, ‘.egg’ 압축파일을 첨부하고 있었다. 압축파일 안에는 이미지 파일 및 저작권 침해 관련 내용을 담고 있는 문서파일로 위장한 ‘바로가기(.lnk)’ 파일이 있었다. 이스트시큐리티 발표에 따르면, 이 파일을 실행하면 첨부된 랜섬웨어 파일인 ‘this.exe’ 파일이 자동 실행되고, PC내 주요 파일들이 암호화된다.

[아이티데일리 2018년 8월 16일 기사]
공정거래위원회 사칭 ‘갠드크랩’ 피싱메일 기승
전자상거래 위반 조사 통지서로 위장

▲ 공정거래 위원회 사칭 이메일

최근 공정거래위원회를 사칭한 갠드크랩(GandCrab) 피싱 메일이 유포되고 있어 사용자의 주의가 요구된다.

해당 메일은 ‘[공정거래위원회] 전자상거래 위반행위 조사통지서’라는 제목으로 유포되고 있으며, ‘전자상거래 위반행위 통지서.egg’ 파일이 첨부돼 있다. 파일을 압축해제하면 ‘.exe’ 파일과 ‘.lnk’ 파일을 생성하며, 실행시 갠드크랩 랜섬웨어에 감염된다.

공정거래위원회는 지난 9일 해당 메일이 유포되고 있어 사용자의 주의가 필요하다고 공지한 바 있다.

공정거래위원회 측은 공지를 통해 “각 기관 및 기업은 메일 열람 시, 송신자를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람 금지하고, 정부기관을 사칭한 메일을 수신하거나 메일 열람 후 악성코드 감염 등 피해 발생시 한국인터넷진흥원 종합상황실로 신고하길 바란다”고 강조했다.

한편, ‘갠드크랩’은 올해 기승을 부리고 있는 랜섬웨어 중 하나로 꼽힌다. 갠드크랩의 특징은 암호화폐인 '대시(Dash)'를 결제 수단으로 요구한다는 점이다. 국내 보안업체들은 갠드크랩 랜섬웨어가 입사지원서, 피고인 소환장, 디자인 저작권 침해 등 다양한 방식으로 유포되고 있는 정황을 발견한 바 있다.

 

또한 입사지원서로 위장한 메일로 랜섬웨어가 유포되기도 했다. 특히 입사지원서로 유출되는 경우 ‘MS 워드’의 매크로기능을 악용하는 것으로 나타났다. ‘MS 워드’에서 제공하는 매크로 기능은 문서 작성 중 반복적인 동작이 필요한 경우, 사전에 기록된 명령을 자동으로 실행해 문서 편집의 효율성을 높여주는 기능이다.

갠드크랩 5.0.4 버전은 악성 워드 문서 파일이 첨부된 이메일을 불특정 다수에게 발송하고, 사용자가 첨부된 파일을 열람 후 매크로 활성화를 허용하면 자동으로 랜섬웨어가 설치되는 공격 방식을 사용한다.

▲ 경찰청을 사칭한 이메일

최근에는 경찰청을 사칭한 피싱 이메일이 유포되고 있다. 해당 메일은 ‘[○○경찰서] 온라인 명예훼손관련 출석요구서(날짜)’라는 제목으로 발송되고 있으며, 이메일 도메인도 @○○police.com로 위장하고 있다. 특히 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조(정보통신망에서의 권리보호)’를 위반했다며, 출석요구서와 신분증 및 기타 자료를 들고 경찰서에 출석하라는 내용을 담고 있어, 첨부파일을 열도록 유도한다. 첨부파일은 ‘출석요구서.rar’ 압축파일이다. 해당 압축파일을 열면 ‘명예훼손관련 고소장.doc’ 및 ‘출석요구서.doc’ 응용프로그램 파일이 들어있다.

▲ 경찰청 사칭 메일 내 첨부파일

웹서버 구축을 통한 유포도 이뤄지고 있다. 공격자는 손쉽게 파일을 공유할 수 있는 웹서버를 설정하고, 정상으로 위장한 프로그램이나 악성 문서파일을 업로드해 사용자가 다운받아 실행하도록 구성한다.

홈페이지를 탈취해 랜섬웨어를 유포하기도 한다. 공격자는 워드프로세서로 작성된 홈페이지를 탈취해 다수의 웹페이지를 삽입하고, 업로드한 파일을 의심없이 다운받을 수 있도록 검색포털 사이트 상위에 노출되도록 설정하는 정황도 발견됐다. 삽입된 웹페이지는 모두 동일한 형태로 구성돼 있으며, 명시된 링크 클릭시 유포지로 설정된 URL로 접속해 정상파일로 위장한 랜섬웨어를 다운로드 받는다. 또한 웹페이지 내부에 특정 스크립트를 사용해 한 번 접속한 웹페이지는 사용할 수 없도록 페이지를 삭제해 정상적인 페이지가 나타나도록 하고 있다.

취약한 광고페이지를 이용해 멀버타이징 기법을 랜섬웨어 유포에 활용하기도 한다. 이 경우는 최신 보안 업데이트가 되지 않은 불특정 다수를 대상으로 익스플로잇 킷을 이용해 공격을 시도한다. 하지만, 보안소프트웨어 설치 및 최신 보안 업데이트가 적용돼 있는 시스템의 경우 감염시키기 어렵다는 문제로 국내에서는 다른 유포 방법을 많이 사용하는 것으로 확인되고 있다.


랜섬웨어 대응, ‘필수보안수칙’ 준수해야

KISA 및 보안기업들은 모두 올해 랜섬웨어가 더욱 고도화 및 지능화돼 위협도가 커질 것으로 전망했다. 지난해보다 더 많은 신종 랜섬웨어가 나타날 것이며, 백신을 무력화하거나 삭제하는 등 대응도 어려워질 것으로 보인다.

안랩은 랜섬웨어의 타깃화, 국지화가 이어질 것으로 예상했다. 안랩 관계자는 “지난해 한글 윈도우 환경에서만 동작하도록 설정된 ‘매그니베르’ 랜섬웨어가 유포된 바 있다. 또한 ‘갠드크랩’은 사용자의 IP 주소를 체크해 한국 사용자와 그 외 지역 사용자를 구별하고 각각 다른 감염방식을 전개한 바 있다”면서, “이처럼 올해도 국내를 타깃으로 한 랜섬웨어 공격이 지속될 것으로 전망돼, 국내 사용자의 각별한 주의가 필요하다”고 강조했다.

김윤근 ESRC 차장은 “올해도 지난해와 비슷한 양상이 될 것이라고 전망한다”면서, “지난해 초에는 암호화폐의 가치가 증가하면서 크립토마이닝, 크립토재킹 등의 악성코드가 증가하는 추세였으나, 암호화폐 가치가 폭락하고 나서 다시 랜섬웨어가 증가하고 있는 추세다. 향후에는 랜섬웨어를 감염시키기 전에 정보를 탈취하고 암호화폐 채굴기를 돌리는 등 복합적인 악성코드가 늘어날 것이다. 또한 ‘갠드크랩’과 같이 보안솔루션을 우회하고 복호화툴을 무효화하는 등 업그레이드가 지속될 것으로 보인다”고 말했다.

보안기업 관계자들은 한 목소리로 랜섬웨어 대응의 가장 좋은 방법은 예방이라고 강조했다. 특히 ▲모든 SW 최신 버전으로 업데이트할 것 ▲최신 버전 백신 SW를 사용할 것 ▲출처가 불명확한 이메일 및 URL 링크 실행하지 않을 것 ▲파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의할 것 ▲중요 파일 및 데이터는 정기적으로 별도의 매체(USB, 클라우드 등)에 백업할 것 등 필수보안수칙을 지켜야 한다고 강조했다.

김윤근 ESRC 차장은 “국내에서 기승을 부리고 있는 랜섬웨어를 살펴보면 2017년 윈도우 취약점을 통해 감염됐던 워너크라이가 아직 톱3에 포함되고 있다. 이는 최신 보안 업데이트가 안된 시스템이 아직도 많다는 것을 의미한다”면서, “워너크라이 같은 경우 윈도우 보안 업데이트만으로도 예방이 가능한 랜섬웨어다. SW 최신 업데이트는 꼭 진행해야 한다는 것을 다시 한 번 강조하고 싶다”고 말했다.

KISA는 기업환경에서는 보안사고 대응 및 비즈니스 연속성을 위한 계획을 마련하라고 권고하고 있다. KISA에 따르면, 먼저 기업 내부에서 랜섬웨어 위협을 격리 및 제거하고 데이터 복구 및 시스템 정상 동작을 복원하기 위한 계획을 마련해야 한다. 또한 이를 정기적으로 테스트해야 한다. 망 분리 환경을 구축한 기업의 경우 인터넷PC에서 인터넷으로부터 다운로드하는 데이터의 저장을 금지하기 위한 기술적·관리적 방안을 강구해야 한다고 설명했다.

KISA는 랜섬웨어 감염을 최소화하는 예방법으로 ▲시스템 보호환경 구축 ▲취약점 관리 및 패치 ▲실행코드 제어 ▲웹 브라우저 트래픽 필터링 ▲이동식 매체 접근 통제 ▲스팸메일 차단 등을 제시했다.

만약 랜섬웨어에 감염됐을 때에는 먼저 랜섬웨어 감염여부와 종류, 증상을 확인해야 한다. 이어 피해를 최소화하기 위해 외부 저장장치와 연결을 해제하고, 네트워크를 차단해야 한다. 또한 랜섬웨어의 유형을 파악해 백신SW 제조사 홈페이지 등을 통해 복구 툴이 있는지 확인해야 한다.

특히 감염 알림창 및 암호화된 파일을 캡처해 증거를 저장하고, 경찰청 사이버안전국과 KISA 사이버민원센터에 신고해야 한다.

▲ 랜섬웨어 감염시 대응 절차(출처: KISA)

데이터를 복구하기 위해서는 기존 백업 데이터를 활용해야 한다. PC를 포맷한 뒤 운영체제를 재설치하고, SW 최신 보안 업데이트를 적용한 뒤, 백업된 데이터를 통해 복구하는 방법이 가장 간단하다.

백업을 하지 않았다면, 복구도구를 활용해야 한다. 보안기업이나 노모어랜섬(No More Ransom) 홈페이지에서 일부 랜섬웨어에 대한 복구도구를 제공하고 있다. 하지만 이는 모든 파일 또는 암호화 키에 대한 복구가 아닌 부분적인 복구만 가능하다. 더불어 해당 홈페이지에 복호화 툴이 없다면, 복구가 어렵다.

KISA는 백업 데이터가 없다면 암호화된 데이터를 보관해야 한다고 설명했다. 추후 파일 및 시스템을 복구할 수 있는 도구가 제공될 수 있다는 것이다. 다만 이는 수많은 랜섬웨어 중 극히 일부분일 수밖에 없다. 변종 랜섬웨어가 복호화 툴을 무효화하기 때문이다.

마지막 방법으로 해커와 협상하는 방법이 있다. 하지만 이 방법의 경우 비용을 지불하더라도 복호화되지 않을 가능성이 높다. 또한 일부 전문가들은 복호화 비용을 지불한다면, 안좋은 선례를 만들어 향후 랜섬웨어 공격의 타깃이 될 수 있다고 지적한다.

▲ 이형택 이노티움 대표

<인터뷰>
“랜섬웨어 대응의 핵심은 업무 연속성 보장”
이형택 이노티움 대표 및 한국랜섬웨어침해대응센터장


“랜섬웨어가 지속적으로 문제가 되고 있는 것은 이전 정보유출 방지를 위해 구축한 보안 체계로는 완벽하게 대응하지 못하기 때문이다. 랜섬웨어 대응의 핵심은 업무 연속성을 보장해주는 것이다.”

이형택 이노티움 대표 및 한국랜섬웨어침해대응센터장은 랜섬웨어 대응에 가장 좋은 방법은 ‘보안 백업’이라고 강조하며 이같이 밝혔다.

이형택 대표는 “국내 랜섬웨어 공격이 확산되는 원인은 ▲취약한 방어기술 ▲안전한 수금 ▲허술한 보안 관리 등 크게 3가지”라면서, “특히 하루에도 수많은 변종이 나오고 있어, 기존 시그니처 기반 보안 솔루션으로는 대응하기 어렵다, 더불어 랜섬웨어가 고도화되면서 보안 솔루션을 우회하는 기능이 추가되고 있다”고 설명했다.

이어 “랜섬웨어도 고도화되기 때문에 아무리 좋은 보안 솔루션을 사용한다고 하더라도 차단율은 95%를 넘지 못한다”면서, “랜섬웨어에 대응하기 위해서는 ‘보안 백업’이 꼭 필요하다”고 강조했다.

이 대표에 따르면, 일반 백업과 보안 백업은 ▲기기가 달라야 한다 ▲네트워크가 달라야 한다 ▲지역이 달라야 한다 등 기본적인 보안 수칙은 공유하고 있지만, 보안 백업이 랜섬웨어에 특화된 기능을 제공한다.

보안백업은 ▲랜섬웨어 감염 프로세스 차단용 저장소 보호 기능 ▲랜섬웨어 감염파일 탐지 및 백업 차단 ▲암호화 백업 ▲SFTP프로토콜 및 화이트리스트 기반 중앙 스토리지 보안 백업 ▲중앙관리에 의한 정책설정 및 로그관리, 사후 감사관리 등이 지원된다.

이형택 대표는 “사용자 관점에서 보안 솔루션 도입 후 랜섬웨어에 의해 데이터 암호화 시 원상복구를 지원하는 ‘원상복구 보증제’를 실시해야 한다”면서 “이를 통해 랜섬웨어 대응 제품의 품질 보증이 필요하다”고 강조했다. 또한 “적극적인 버그바운티를 통해 솔루션의 완성도를 높여야 한다”고 덧붙였다.

마지막으로 이형택 대표는 한국랜섬웨어침해대응센터에 대해 소개했다. 이 대표에 따르면 한국랜섬웨어침해대응센터는 ▲랜섬웨어 피해자 지원 및 침해 분석 ▲과기정통부, KISA, 경찰청/대검 사이버수사팀 등 유관기관 협력 ▲정보 및 방어 솔루션 무상제공 ▲사전 예방활동 전개 등 다양한 활동을 진행하고 있다.


랜섬웨어 대응, 준비가 답이다

지난해에 이어 올해도 랜섬웨어가 기승을 부릴 것으로 전망된다. 가장 최선의 랜섬웨어 대응 방법은 예방이다. 일반 사용자의 입장에서는 SW 보안 업데이트 적용 및 최신 버전 유지, 출처가 불분명한 이메일 및 URL 접근 금지, 주요 데이터 백업 등 필수보안 수칙만 지켜도 예방이 가능하다. 기업의 입장에서도 보안사고 대응 및 업무 연속성을 위한 체계 구축, 보안 백업 시행 등만 잘 지킨다면 대부분의 랜섬웨어에 대응할 수 있다.

▲ 노모어랜섬 홈페이지

감염이 되더라도 노모어랜섬이나 보안 기업 홈페이지에서 배포하는 일부 랜섬웨어에 대한 복호화 툴을 이용하면 복호화가 가능하다. 하지만 이는 수많은 랜섬웨어 중 극히 일부분일 뿐이다. 그렇다고 해커에게 돈을 주고 복호화하는 방법도 100% 복구된다고 장담하기 어렵다. 결국 랜섬웨어에 대응하는 가장 좋은 방법은 예방뿐이라는 얘기다. 개인에게나 기업에게나 데이터는 소중한 자산이다. 이 자산을 보호하는 것은 미리 준비하지 않으면 안 된다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지