[공감신문] 열심히 작성하던 문서가 도중에 날라간다면? 혹은 그동안 모아왔던 소중한 자료들이 갑자기 동결된다면? 그런데 심지어 이 자료들을 인질로 돈을 달라며 요구하기도 한다. 정말 생각만해도 화나는 일이 아닐 수 없다. 랜섬웨어는 바로 이 짜증나는 일들을 당신에게 선사할 수 있다. 공감 포스팅팀이 랜섬웨어를 막기 위한 최선의 방법을 모아봤다.
■ 랜섬웨어(Ransom Ware)란?
몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어이다. 주로 사용자 동의 없이 컴퓨터에 불법으로 설치해서 파일을 인질로 잡아 금전을 요구하는 악성 프로그램을 말한다. 랜섬웨어는 꼭 컴퓨터에서만 발생하는 것이 아니라 모바일 환경에서도 발생하며 감염 사례도 많다. 한국에서는 2016년을 기점으로 대폭 성장해 2017년 가장 조심해야 할 바이러스로 꼽힌다.
랜섬웨어는 xls, doc, pdf, jpg, avi, rar, zip, mp4, png, psd, hwp, javas 등 주로 업무용 파일을 암호화한다. 이들을 제멋대로 암호화해서 열지 못하게 한 뒤 돈을 보내주면 해독용 열쇠 프로그램을 전송해준다며 금품을 요구한다. 해커가 요구한대로 비트코인 등 가상 계좌로 돈을 보내면 복호화 프로그램을 줄 수도 있지만 주지 않는 경우도 많다.
■ 랜섬웨어 종류
1. 크립토락커
2013년 9월 처음 발견된 국내에서 가장 잘 알려진 랜섬웨어 중 하나다. 자동실행 등록 이름이 ‘크립토락커’다. 웹사이트 방문 시 취약점을 통해 감염되거나, 이메일 내 첨부파일을 통해 주로 감염된다. 일단 감염되면 사용자 PC 데이터를 암호화하면서 확장자를 ‘encrypted’ 또는 ‘ccc’로 변경한다. 그 다음 암호화된 파일이 든 모든 폴더 안에 복호화 안내 파일 2종류를 생성한다. ‘윈도 볼륨 섀도우’도 삭제하기 때문에 윈도 시스템 복구가 불가능하다.
2. 테슬라크립트
지난 2015년 국내에 많이 유포된 랜섬웨어다. 취약한 웹페이지 접속 및 이메일 내 첨부파일 등을 통해 퍼진다. 파일 확장자를 ‘ecc’, ‘micr’ 등으로 변경한다. 드라이브 이름과 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정한다. USB 메모리 같은 이동식 드라이브나 네트워크 드라이브는 감염되지 않는다.
3.크립트XXX
2016년 5월부터 국내에 모습을 드러냈다. 크립트XXX에 감염되면 파일 확장자가 ‘crypt’ 등으로 변하고, 바탕화면에 복구 안내 메시지가 뜬다. 그러면서 ‘데이터를 잃기 싫으면 비트코인으로 대가를 지불하라’는 메시지가 뜬다.
4. 케르베르
말하는 랜섬웨어로 유명하다. 이 랜섬웨어에 감염되면 “Attention! At-tention! Attention!? Your documents, photos, databases and other important files have been encrypted”(“이봐! 이보라고!? 당신 문서, 사진, 데이터베이스와 중요한 파일들이 암호화됐어”)라는 음성 메시지가 나온다. 웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 ‘cerber’로 변경한다.
■ 랜섬웨어 감염 경로
랜섬웨어는 주로 이메일, 웹사이트, P2P 사이트 등을 통해 감염된다. 이들은 파일 또는 오피스 문서파일에 숨어 빈틈을 노린다. 최근 PC뿐만 아니라 영역을 확장해서 스마트폰의 안드로이드 데이터까지 위협하고 있다.
특히 ‘신뢰할 수 없는 사이트’를 통해 퍼지는 경우가 많다. 일명 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 이용하면 단순히 홈페이지만 방문해도 감염된다. 이는 공격자가 해당 웹사이트에서 보안 취약점을 노려 악성코드를 숨기고, 이 악성코드를 사용자가 자신도 모르게 내려받아서 감염되는 방식이다.
이메일도 안심할 수 없다. 출처가 불분명한 이메일, 첨부파일, 메일 웹주소(URL)를 통해 사용자 PC를 감염시키기도 한다. 사용자가 이메일을 열도록 유도하기 위해 마치 아는 사람이나 알아야 하는 정보인 것처럼 제목을 달아 속이기도 한다.
특히 파일공유 서비스 ‘토렌트(Torrent)’나 웹하드 등 P2P 사이트를 통해 파일을 주고받으면 랜섬웨어에 감염될 가능성이 높다. 최근에는 페이스북이나 링크드인 같은 SNS를 이용해 사용자 PC를 감염시키는 경우가 있다. 해당 SNS 올라온 단축 URL이나 사진을 이용해 랜섬웨어를 유포하는 방식이다.
■ 랜섬웨어 예방법
1. 백업
가장 강력하고 가장 확실하며 수많은 실전 경험이 축적되고 검증된 대처법이다. 백업 이기는 랜섬웨어는 없다. 아래 설명된 모든 방법을 시도하기 전에 백업부터 먼저 챙기자. 단, 랜섬웨어 감염 이전에 미리 챙겼어야 한다. 백업은 랜섬웨어 외에도 파일의 손상과 유실을 야기하는 수많은 재난 상황에서 가장 신뢰할 수 있는 복구 수단이다.
2. OS 및 백신 최신 업데이트
일반적인 바이러스도 해당되지만 운영체제(OS), 안티 바이러스(백신) 프로그램 업데이트를 꾸준히 하는 게 좋다. Windows 보안 업데이트 역시 필수로 여겨진다. 또한 가급적 최신 버전 OS를 설치해서 사용하자. 윈도우 7 역시 최신 업데이트를 하지 않으면 감염되며 최근에는 윈도우 8.1, 10에서의 감염사례도 보고된다.
3. 보안 허점 소프트웨어 삭제
어도비 플래시를 아예 삭제해 버리는 것도 중요한 방법의 하나다. 어도비 측에서 공식적으로 플래시를 포기했다는 뉴스가 떴기에 사실상 공식적인 예방책이라 볼 수 있다. 또한 검증되지 않은 광고를 통해 침입할 수도 있으므로 광고 차단 프로그램으로 대비해 두는 것도 방법이다.
4. 모르는 파일 실행 금지
이메일에 첨부된 파일은 지인이 보냈거나 단순한 문서라도 섣불리 실행하지 말자. 특히 요청한 자료가 아니면 유선 등으로 발신자와 확인 후 실행해야 한다. 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, 토렌트 등을 통해 내려받은 파일을 실행할 때도 주의해야 한다.
■ 랜섬웨어 대처법
[Step 1] 컴퓨터 물리적 종료
시작 메뉴에서 PC종료를 누르지 말고, 말 그대로 무식하게 멀티탭 스위치를 내리거나 전원 코드를 뽑으란 얘기다. 물론 이런 방식이 위험한 것을 모르진 않지만 그런 거 따질 상황이 아니다. 잘 설계된 랜섬웨어는 이런 소프트웨어적 종료를 무시하므로 더욱 그렇다. 노트북이나 본체의 전원 스위치를 4초 이상 눌러 강제 종료하거나 일단 물리적인 리셋버튼을 눌러 운영체제를 중지한 후 바이오스 화면이 나올 때 잽싸게 전원스위치를 눌러 전원을 차단하는 방법도 있다.
[Step 2] 안전 모드 진입
Windows7까지는 시스템 부팅 전 F8 키를 연타한 뒤 '안전 모드(네트워킹 사용)'를 선택한 후 'Enter' 키를 눌러 진입한다. Windows8부터는 명령 프롬프트(cmd)를 실행해 [shutdown/r/o] 명령어를 입력한 후 키보드의 'Enter' 키를 누른다. 시스템이 다시 시작해서 옵션 선택 화면이 나오면 '문제 해결', '고급 옵션', '시작 설정', '다시 시작' 버튼을 차례대로 클릭한다. 한 번 더 재시작되면 숫자 5를 키보드로 입력한다.
[Step 3] 백신 프로그램 사용
안전 모드로 진입이 완료되면 적절한 안티 바이러스 제품으로 검사해서 랜섬웨어를 제거한다. 결제 협박문이 남아 있을 경우 랜섬웨어 결제 안내 파일 제거 스크립트(RIFR)를 이용해 제거한 후 시스템을 다시 시작한다.
[Step 4] 복호화 툴 이용
컴퓨터가 정상으로 돌아왔다면 암호화된 파일이 아직 남아있을 것이다. 따라서 암호화된 파일 복호화가 가능하다면 복호화 툴을 이용한다. 단, 랜섬웨어 제작자가 복호화 키를 전부 공개하거나 사법 당국이나 안티 바이러스 업체가 복호화 키를 찾아낸 경우에만 해당된다