지난
5월을 ‘랜섬웨어 공포’로 몰아넣었던 워너크립터(일명 워너크라이) 사태가 일단락되는 듯하다. 랜섬웨어는 지난 2016년부터 폭발적으로
증가하여 많은 보안 업체들이 그 위험성을 경고해 왔으나 일반인들에게는 익숙하지 않은 용어였다. 그러나 워너크립터가 언론 보도 등을 통해
유명세(?)를 떨친 덕분에 이제 ‘랜섬웨어’를 못 들어본 사람이 거의 없을 정도다.
이 글에서는 워너크립터 사태를 되짚어 보고, 지금도 계속 진화하고 있는 랜섬웨어에 대비하기 위해 무엇을 해야 하는지 그 방안을 제시하고자
한다.
랜섬웨어란? 랜섬웨어는 악성코드와 다른가?
랜섬웨어(Ransomware)는 ‘몸값’을 뜻하는 영어 단어 'ransom'과 하드웨어 또는 소프트웨어 등을 의미하는 'ware'의
합성어로, ‘파일을 인질로 잡아 몸값을 요구하는 악의적인 소프트웨어’를 의미한다. 즉, PC에 저장된 파일들을 암호화하여 사용자가 읽을
수 없는 문자들로 바꿔버린 후, 암호화를 풀어주는(복호화) 대가로 금전(몸값)을 요구하는 악성코드를 통칭하여 랜섬웨어라고 부른다.
렌섬웨어는 어떤 경로로 감염되나?
랜섬웨어를 유포하여 감염시키는 경로는 크게 스팸메일, 다운로드 실행(Drive-by-Download), 파일 공유 사이트 등 세 가지로
정리할 수 있다.
스팸메일: 랜섬웨어를 포함하는 파일이 첨부되어 있거나 다운로드하는 URL이 링크되어 있을 수 있다. 사람의 호기심을 이용하는 사회공학적 기법으로
인해 수신된 메일이 스팸메일인지 구별되지 않을 정도로 정교한 경우가 대부분이지만, 자세히 살펴보면 이상한 점을 발견할 수 있다. 모르는
사람에게서 메일이 오거나 알고 있는 사람이라 할지라도 해당 내용과 연관이 없는 경우도 있기 때문이다. 신뢰할만한 기관이나 대상을 사칭하여 메일을
보내는 경우도 있으므로 모든 메일의 첨부 파일에 대해서는 항상 주의해야 한다. 보통 'exe', 'scr' 확장자를 가진 실행 파일을 첨부한다.
다운로드 실행 (Drive-by-Download): PC에서 사용 중인 운영체제, 웹 브라우저, 플래시 플레이어 등 각종 애플리케이션 가운데
최신 버전이 아닌 애플리케이션의 취약점을 이용해 랜섬웨어를 유포한다. 취약점을 이용해 이메일, 웹 페이지 접속 등으로 랜섬웨어를 유포하는 자동화
소스코드 및 도구인 익스플로잇 킷이 주로 악용하는 애플리케이션으로는 플래시 플레이어, 아크로뱃 리더, 인터넷 익스플로러, 실버라이트, 자바 등이
있다. 해당 애플리케이션 제작 업체에서는 취약점이 발견되면 패치를 배포하기 때문에 즉각적인 업데이트가 필요하다. 웹 페이지에 삽입되어 있는
변조된 광고나 웹 사이트 및 커뮤니티의 게시물을 통해 랜섬웨어를 유포하는 것도 취약점을 이용한 방식이다.
파일 공유 사이트: 파일 공유 프로그램・사이트에서 다운로드한 파일 중에 랜섬웨어를 유포하는 파일이 첨부되어 있을 수 있다. 다운로드된 파일이
악성 파일이지만 정상 파일로 위장된 경우, 다운로드한 여러 파일 중 일부가 악성 파일을 포함하는 경우 등 다양한 형태로 사용자 PC를
감염시킨다. 파일 공유 기술 자체가 나쁘거나 위험한 것은 아니지만, 토렌트락커(TorrentLocker)라는 랜섬웨어가 별도로 있을 정도로 파일
공유 및 다운로드 사이트를 악용하는 사례가 잦으므로 주의해야 한다.
워너크립터, 무엇이 달랐나? 왜 대규모 피해가 발생했나?
워너크립터는 이메일 첨부 파일이나 취약한 웹사이트를 통해 감염되는 일반적인 랜섬웨어와 유사하다. 하지만 5월부터 SMB 취약점을 악용하면서
전파력이 커져 막대한 영향을 끼친 것으로 보인다. 워너크립터에 악용된 SMB 취약점은 마이크로소프트(Microsft, 이하 MS)가 2017년
3월 보안 업데이트를 배포했지만, 수많은 시스템이 해당 업데이트를 적용하지 않은 상태였기 때문에 위협에 고스란히 노출되었던 것이다. 특히
워너크립터는 SMB 취약점 보안 패치가 적용되지 않는 시스템에서는 별도의 동작 없이도 감염될 수 있는 조건이었다.
[그림 1] 워너크립터 동작 과정
워너크립터의 국내 피해는 어느 정도인가?
해외 언론 보도에 따르면, 워너크립터 랜섬웨어로 인해 전세계 150개국의 컴퓨터 30만 대 가량이
피해를 입었다. 이에 반해 한국인터넷진흥원(KISA)은 5월 26일까지 워너크립터 랜섬웨어 피해를
신고한 국내 기업은 총 21곳이라고 발표했다.
또 지난 5월 12일부터 19일까지 안랩 V3가 진단한 건수에 따르면 432대의 PC가 감염되었으며,
차단 로그는 그보다 많은 것으로 확인됐다. 여기에 관련 기관이나 보안 업체에 신고하지 않은 기업이나
개인 피해자들을 고려하면 적지 않은 피해가 예상되지만, 그래도 여전히 다른 나라에 비해 피해 규모는
크지 않은 편이다.
상대적으로 국내 피해가 적었던 이유로는, 우선 주말임에도 불구하고 관계 기관과 보안 업체들, 언론사의
공조로 피해 현황, 주의 사항 등 워너크립터 관련 정보가 신속하게 전달된 점을 꼽을 수 있다. 초동
대응이 성공적이었다고 평가받는 이유다.
또 다른 나라에 비해 상대적으로 국내의 윈도우(Windows) 10 이용 비율이 높았던 점도 피해가
크지 않았던 이유로 분석된다. 워너크립터는 윈도우 운영체제의 특정 취약점을 이용한 악성코드로, 국내외
피해가 발생한 PC는 대부분 보안 업데이트가 적용되지 않은 구 버전의 윈도우 운영체제를 이용하는
경우였다. 이에 반해 윈도우 10은 자동으로 보안 업데이트가 적용되며, 또 해당 취약점을 갖고는
있지만 워너크립터의 감염 대상은 아니었다.
랜섬웨어에 감염되면 어떤 증상이 나타나는가?
랜섬웨어 종류에 따라 감염 증상에는 약간씩 차이가 있지만 일반적으로 공통된 증상을 정리할 수 있다.
다음의 공통 증상 가운데 한 가지 이상 해당되면 랜섬웨어 감염을 의심해보아야 한다.
평소 문제없이 열렸던 문서, 사진, 그림, 음악, 동영상, 파일들 중 일부 혹은 전체가 읽을 수 없게
되거나 열리지 않고, 파일 이름, 파일 확장자가 바뀌거나 확장자 뒤에 특정 확장자가 추가되어 있다.
또한 사용자의 파일이 암호화되었음을 알리고, 이를 해제하기 위한 몸값과 몸값을 지불할 수 있는 방법
등을 보여주는 안내 창이 사용자에게 통보된다.
[그림 2] 랜섬웨어 감염을 알리는 메시지 창
이외에도 보통 암호화된 폴더나 바탕화면을 통해 보여주거나, PC를 부팅할 때마다 나타나도록
시작 프로그램에 등록된다. 랜섬웨어 제작자의 의도에 따라 네트워크 접속을 통해 공격자의 명령을 수신하거나 윈도우 백업 서비스를 강제로 종료하는
등 별도의 동작을 수행한다.
만약 랜섬웨어 감염됐다면 어떻게 대처해야 하나?
랜섬웨어 감염이 의심될 경우, 즉시 공유폴더, USB나 외장하드 등 외부 저장장치의 연결을 해제해야 한다. 랜섬웨어가 암호화를 진행하고 있는
중이라면 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문이다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이
될 수 있다. 이 정도면 기초적인 조치는 마무리된다. 그리고 컴퓨터의 파일들을 확인하여 암호화 여부와 피해 범위를 확인한다. 앞서 설명했듯이
확장명과 바탕화면 변경, 팝업 형태의 감염 메시지 출력이 발생했는지도 확인한다. 극히 일부의 랜섬웨어를 제외하면 대부분의 랜섬웨어에 의해
암호화된 파일은 복구가 불가능하다. 현재 안랩을 비롯한 주요 보안 업체에서는 복구 방법이 알려졌거나 구조적으로 취약한 일부 랜섬웨어에 대해 복구
툴을 제공하고 있지만, 사용자들이 많이 감염되는 케르베르(Cerber), 록키(Locky), 워너크립터 등의 랜섬웨어는 복구 툴을 이용한 복구가
불가능하다.
따라서 랜섬웨어에 감염되지 않기 위해서는 ‘사전 예방’이 가장 중요하다. 또한 감염되더라도 즉시 데이터를 복구할 수 있도록 주기적으로 데이터를
백업하는 것이 좋다. 지속적으로 유포되는 변종 랜섬웨어의 감염을 예방하기 위해서는 V3를 최신 엔진으로 유지하고 윈도우 운영체제, 인터넷
익스플로러, MS 오피스, 자바(JAVA), 플래시 플레이어 등의 최신 보안 패치 업데이트를 모두 적용해야 한다.
랜섬웨어 제작자에게 돈을 지불하면 암호화된 파일을 사용할 수 있나?
돈을 받은 공격자가 파일 복구에 필요한 열쇠(key)를 반드시 제공하리라는 보장은 없다. 돈을 받은 공격자가 열쇠를 보내주지
않을 경우 암호화된 파일을 복구할 수 없으며, 합법적인 정상 거래가 아니기 때문에 법적으로 보호 또는 보상받을 수 없다.
한번 돈을 지불한 피해자는 공격자에게 손쉬운 타깃으로 인식될 수 있다. 공격자가 돈을 받고 일단 암호를 풀 수 있는 열쇠를 제공하더라도 이후 또
다른 범죄 행위를 시도할 우려가 있다.
왜 이렇게 랜섬웨어가 기승을 부리고 있나?
지난 2016년부터 랜섬웨어 활동이 급증하기 시작했다. 또한 올해 상반기에도 이러한 추세는 지속되고 있다.
[그림 3] 2017년 랜섬웨어현황 (2017.05 기준)
이렇게 랜섬웨어가 증가하는 이유는 단순하다. 돈이 되기 때문이다. 기존 악성코드와 랜섬웨어
모두 금전적인 이득이 목적이다. 하지만 랜섬웨어는 피해자들에게 비트코인으로 직접 결제하는 방식을 채택함으로써 과거와는 달리 단시간 내에 직접적인
수익을 극대화하는 방식을 추구한다.
[표 1] 기존 악성코드와 랜섬웨어의 차이
즉, 단시간에 상당한 수익을 만들어 낼 수 있기 때문에 악성코드 제작자들은 랜섬웨어로 몰려들고
있다. 금융 관련 악성코드를 유포하던 드라이덱스 제작 그룹까지도 랜섬웨어 제작 및 유포에 뛰어들었다고 한다. 더욱이 비용만 지불하면 제작부터
악성코드 유포, 관리까지 해주는 RaaS(Ransomeware as a Service)를 통해 악성코드를 만들 수 있는 능력이 없는 사람도
뛰어들고 있는 상황이다.
백신이 있으면 랜섬웨어를 막을 수 있나?
안랩은 아래 [그림 4]와 같이 V3 제품군, MDS 제품을 통해 워너크립터 랜섬웨어의 진단 및 제거 기능을 제공했다. 또한 안랩 패치
매니지먼트(AhnLab Patch Management)를 통해 MS 보안 업데이트를 자동으로 적용할 수 있도록 조치했다.
[그림 4] 안랩의 워너크립터 대응 타임라인
안랩은 5월 16일 워너크립터로 인한 추가 피해가 발생하지 않도록 자사 홈페이지를 통해 ‘안랩
워너크립터 사전 예방 툴’을 무료로 배포했다. 5월 28일에는 V3 제품군에 IPS(Intrusion Prevention System)
시그니처를 배포해 워너크립터 랜섬웨어 변종 및 유사 공격을 대비했다. 이외에도 ASEC 블로그, 랜섬웨어 보안센터를 통해 분석보고서, 최신
동향, 대응 가이드, 감염 예방을 위한 보안수칙 등 랜섬웨어와 관련된 다양한 정보를 제공하고 있다.
랜섬웨어 예방을 위해서는 어떻게 해야 하는가?
앞서 설명했듯이 V3와 MDS 등 안랩의 주요 보안 솔루션들은 주요 랜섬웨어를 진단 및 차단하고 있다. 랜섬웨어를 비롯한 다양한 최신 악성코드에
의한 피해를 방지하기 위해서는 백신 사용이 기본이며, 특히 백신의 엔진을 최신 상태로 유지할 수 있도록 실시간 업데이트 기능을 활성화해두기를
권장한다.
랜섬웨어 피해 방지를 위해 그 무엇보다 사전 예방이 가장 중요하므로 아래 제안한 10가지의 보안 수칙을 준수해야 한다.
① 최신 버전의 윈도우 OS 설치 (보안 업데이트가 제공되지 않는 구버전 운영체제 사용 지양)
② 마이크로소프트에서 배포하는 보안 업데이트 적용
③ 인터넷 익스플로러 외에 엣지(Edge), 크롬(Chrome), 파이어폭스(Firefox) 등 다른 브라우저 사용
④ 웹 브라우저, 자바, 플래시 플레이어의 최신 버전 사용
⑤ 자바, 플래시 플레이어가 필요하지 않을 경우 PC에서 제거
⑥ ‘주기적인 데이터 백업’의 생활화
⑦ 백신 프로그램의 최신 엔진 버전 적용, 실시간 감시 기능 이용 등 올바른 사용
⑧ 불필요하거나 본래 목적에서 벗어난 무분별한 PC 사용 자제
⑨ 무료 사이트는 악성코드의 온상이므로 접속 자제
⑩ 의심스러운 이메일 열람과 첨부파일 실행 자제
랜섬웨어는 현재 진행형 위협이다. 사용자를 효과적으로 관리하고 통제할 수 있는 PC 취약점 점검 솔루션, 알려진 위협에 가장 효과적으로 대응할
수 있는 것으로 알려진 백신, 그리고 알려지지 않은 보안 위협에 대응하기 위한 지능형 위협 대응 솔루션 등을 통한 효과적이고 입체적인 대응 전략
구축이 뒷받침되어야 한다. 그리고 기본적이지만 가장 잘 지켜지지 않은 것이 구성원 개개인이 PC 사용에 대한 보안 수칙을 준수하는 것이다.
따라서 조직 차원에서 이를 지킬 수 있도록 가이드하는 것이 반드시 필요하다.
[출처 : 안랩(www.ahnlab.com)]
