랜섬웨어, 대응책과 예방법은?
랜섬웨어 소식이 끝없이 나오고 있는 요즘이다. 랜섬웨어는 회사는 물론 개인 PC까지 노리고 있어 전 세계적으로 상당한 피해를 입히고 있다. KISA(한국인터넷진흥원)의 '2021 랜섬웨어 스페셜리포트'에 따르면 글로벌 피해 금액은 2031년 300조 원을 넘어설 전망이다. 2015년 3800억 원에 불과했던 피해 규모는 올해 들어 23조 6000억 원으로 증가했다. 랜섬웨어 피해 사례는 수없이 듣고 있지만, 정작 내 PC가 랜섬웨어 감염된다면 올바르게 대응하는 방법을 아는 이들이 많지 않을 것이다. 이번 글에서는 PC가 랜섬웨어 감염됐을 때 개인이 할 수 있는, 그리고 해야 하는 현실적인 대처 방법과 사후조치에 대해 소개한다.
# 2년 전, 가을 무렵에 실제로 개인 노트북이 랜섬웨어에 걸렸다. 평상시처럼 오피스프로그램을 실행하고 작업 문서파일을 열려고 해도 해당 폴더에 파일이 없는 것 아닌가. 탐색기로 보니 파일은 있으나 확장자가 전부 이상한 형식으로 바뀌어 있다. 이때 ‘아, 랜섬웨어 걸렸구나’하는 생각이 들었으나 이미 늦었다. 돌이켜 보면, 블로그 어디선가 다운로드 받은 외국 프로그램 때문인 듯하다. 이메일에 첨부된 알 수 없는 파일이나 링크는 절대 클릭하지 않기에 유추할 수 있는 건 불법 프로그램 설치밖에 없다. 가장 중요한 가족들 사진을 모아놓은 영상 폴더로 들어가봤더니 여기도 이미 확장자가 바뀌어 열 수 없는 상태가 됐다. 유일하게 열 수 있는 readme.txt 파일을 클릭하니 영어로 ‘너의 파일은 모두 암호화됐고 풀고 싶으면 비트코인 얼마를 보내주면 풀어주겠다’는 글을 읽을 수 있었다. 당시 감염된 랜섬웨어 이름은 갠드크랩이었던 걸로 기억한다. 다행히도 안랩에서 제공한 복구툴과 6개월 정도 전에 백업해둔 파일을 이용해 절반 정도 사진과 문서를 복구할 수 있었지만 절반은 어쩔 수 없이 눈물을 머금고 날려야 했다.
랜섬웨어는 일반적인 바이러스와는 달리 백신 소프트웨어를 설치한다고 감염을 막을 수 있거나 치료할 수 없다는 게 가장 큰 문제다. 일부 랜섬웨어의 경우 안랩과 같은 백신 소프트웨어 업체들이 복구 툴을 무료로 제공해 피해를 복구할 수 있는 경우도 있지만 금세 또 다른 암호화 알고리즘을 적용한 랜섬웨어가 등장해 복구가 사실상 힘들다고 할 수 있다. 그래서 결국 공격자에게 대가를 지불하고 복호화 키를 받은 업체 사례가 뉴스로 등장하기도 했다.
랜섬웨어는 감염된다고 바로 티를 내지는 않는다. 평소에 컴퓨터 사용자들이 잘 보지 않는 구석진 파일에 잠복해 있는다. 그런데 타깃하는 파일들을 암호화시킬 때 외장하드나 USB가 연결되어 있는 상태라면 본체 하드디스크보다 외장파일들부터 먼저 공격한다. 이때 랜섬웨어에 걸린 파일명은 실행이 되지 않도록 모두 암호화되며, 복호화 프로그램 없이는 복구가 불가하다. 주로 문서 파일과 동영상 파일, 이미지 파일에 공격을 시도한다. 왜냐하면 이 파일들이 사용자에게 중요한 파일일 확률이 높고, 암호화된다면 랜섬을 지불할 확률도 높기 때문이다.
암호화가 모두 완료되기 전에 재부팅하면 ‘당신 컴퓨터는 랜섬웨어에 감염되었다’는 협박 텍스트 파일과 복호화 파일을 전달할 html 페이지가 자동으로 팝업되기도 한다. 그리고 대부분의 작업을 할 수가 없다. 대표적인 증상은 다음과 같다.
우선 중요 시스템 프로그램이 열리지 않는다. 명령 프롬프트, 제어판의 일부 기능, 레지스트리 편집기(regedit), 시스템 부팅 유틸리티(msconfig), Windows 작업 관리자 등의 작업이 불가능하다. 그리고 윈도우 복원 시점이 제거되거나 업데이트를 막아 버린다.
랜섬웨어 대처법, 이것만 기억하자!
1. PC 종료하지 않기
랜섬웨어에 감염된 것을 인지하면 너무 당황한 나머지 급하게 PC 전원을 끌 수 있다. 이는 잘못된 대처법이다. 랜섬웨어 감염을 확인한 후, PC 전원을 끄지 않도록 주의해야 한다. 일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제해버리기도 한다. 따라서, 감염 알림창에 나타난 메시지를 주의 깊게 살펴보고 감염된 랜섬웨어가 무엇인지 파악한 후, 차분하게 피해를 최소화할 수 있는 방안을 찾아보는 것이 바람직하다.
2. 외부 저장장치와의 연결 해제하기
랜섬웨어 감염이 의심될 경우, 즉시 공유 폴더, USB나 외장하드 등 외부 저장장치와의 연결을 해제하는 것이 좋다. 아직 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문이다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있다.
3. 무료 복구 프로그램 검색하기
그 다음으로는 안랩 등 신뢰할 수 있는 보안 회사의 홈페이지 등을 통해 감염된 랜섬웨어에 대한 복구툴이 있는지 확인해본 후 빨리 조치해야 한다. 안랩을 비롯한 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파일을 복구할 수 있는 툴(프로그램)을 제작해 무료로 제공하고 있다. 안랩은 자사 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 무료로 제공하고 있다. 또 암호화 기법이 교묘하게 바뀐 크립트XXX 3.x 버전의 경우, 일부 파일에 대한 부분 복구를 지원하는 복구툴을 제공하고 있다.
그러나 현재 국내에서는 일부 복구 툴이 공개된 랜섬웨어를 제외하고 알고리즘 해독이 어렵고, 암호화 방식도 수시로 변경되기에 복구툴 제공도 어려운 게 현실이다. 따라서 백업해둔 파일이 있다면 이를 이용하여 다시 복구를 진행하는 것이 가장 이상적이다. 만약, 백업해둔 데이터가 없다면 감염된 파일을 비롯해 전체 포맷을 진행하거나, 복호화 비용을 지불해 복구 프로그램을 제공받는 방법 중 선택을 하는 수밖에 없다.
랜섬웨어, 예방이 답이다!
KISA는 국민·기업의 랜섬웨어 감염 예방 및 피해 최소화를 위해 '랜섬웨어 피해 예방 5대 수칙'과 '랜섬웨어 대응·백업 가이드'를 제공하고 있다. 주요 내용은 ▲백업 체계 구축 및 운영 ▲주요 시스템 보안 점검 ▲백업 체계의 보안성 강화 등이다. 그 밖에도 예방법이 있는지 알아보자.
랜섬웨어는 무료 파일 다운로드 및 공유 사이트는 물론 이메일을 통해 진행되기도 하며 광고창 클릭, 유튜브 영상 다운로드, 뉴스 기사, 링크 주소 등으로 침투되고 있다. 대부분 불법적인 경로, 확인되지 않은 사이트, 취약한 사이트에서 유입되는 게 대부분이다. 다양한 경로를 열어두고 침투하기 때문에 컴퓨터를 사용하는 중 무분별한 다운로드 및 접속을 피하시는 것이 가장 쉬운 예방법이다.
또 다른 예방법은 PC의 운영체제 및 응용 프로그램, 백신 등을 최신 버전으로 업데이트해 최상의 상태를 유지하는 것이다. 랜섬웨어는 일반적으로 보안 취약점을 악용해 시스템에 유입되기 때문에 응용 프로그램, 백신 등을 최신 버전으로 유지하는 것이 매우 중요하다. 또한 악성코드 감지가 가능한 크롬, 네이버 웨일, 파이어폭스 같은 웹 브라우저를 이용해 접속하는 것이 바람직하며, 무분별한 파일 다운로드 및 접속을 피하는 것이 랜섬웨어를 예방하는 최선의 방법이다.
또한 예방법 못지않게 가장 중요한 것은 백업이다. 가치가 있다고 생각되는 자료는 사용자 스스로 지키시는 것이 바람직하다. 저장 매체를 이용해 여러 개의 백업본을 만들어 보관하는 것이 필요하다. 랜섬웨어는 C 드라이브를 시작으로 연결, 연동되어 있는 모든 곳의 저장소를 암호화하기 때문에 백업본이 든 저장 매체는 반드시 필요시에만 연결하고 사용이 끝나면 분리해 주는 것이 좋다.
랜섬웨어 공격을 당하고 해커에게 랜섬을 지불한 피해자 중 80%가량은 또다시 랜섬웨어 공격을 당한 것으로 조사됐다. 또한, 랜섬을 지불했다고 복구 프로그램을 제공받는다는 보장도 없고 암호화 방식도 수시로 변경되어 사실상 데이터 복구는 어렵다. 랜섬웨어 감염은 쉽게 이루어지는 반면 해결하는 것은 제한적이기 때문에 사용자 스스로 예방하고 대비하는 것이 가장 확실한 예방법이다.
출처 : AhnLab