랜섬웨어(Ransomware)

 

 

 

1. 랜섬웨어란?

 

랜섬웨어는 Ransom(몸값) + Software(소프트웨어)의 합성어입니다. 시스템을 잠그거나 데이터를 암호화시켜서 사용할 수 없도록 만든 다음 이를 빌미로 돈을 요구하는 것을 말합니다.

 

좀 더 쉽게 설명하자면 회사의 중요한 자료가 들어있는 서버나 병원의 환자 정보가 저장된 서버 , 개인PC 같은 곳에 몰래 해킹 후에 패스워드를 걸어두고 이 패스워드를 알려줄 테니 나에게 얼마의 돈을 내라고 협박을 할 때 사용하는 악성 소프트웨어를 말합니다.

 

< 랜섬웨어 이해 >

 

워낙에 견고한 암호화를 통해 패스워드를 걸어놓기 때문에 랜섬웨어를 유포한 해커를 제외한 다른 사람이 암호를 해독할 수 있는 방법이 없습니다. FBI에서도 랜섬웨어의 해독 부분은 포기했다고 하니 암호화 해 놓은 것이 얼마나 강력한지 알 수 있겠죠

 

첫 등장은 1989년까지 거슬러 올라가지만 지금과 같은 랜섬웨어 형태가 본격적으로 기승을 부린 건 비트코인 등장 이후입니다. 익명성이 보장되는 비트코인 특성상 추적이 쉽지 않아 범죄자들이 안심하고 몸값을 요구할 수 있게 되었습니다. 비트코인으로 몸값을 받는 특성 때문에 비트코인 등 암호화폐 가치가 높아질수록 더 기승을 부리는 경향도 있습니다.

 

 

▣ 랜섬웨어 감염 경로

 

: 랜섬웨어는 우리가 사용하는 이메일 , P2P에서 다운받은 파일(토렌트)  , 메신저 파일  , 웹 사이트 방문을 통해 감염됩니다. 요즘에는 영역을 확장해 안드로이드 스마트폰까지 위협하고 있다고 합니다.

 

불법 웹사이트에 접속하거나 불법복제 콘텐츠를 이용하는 것도 금물입니다. 악성코드 자체가 이러한 콘텐츠로 위장해 유포되기도 하고, 인가되지 않은 불법 프로그램을 이용하기 위해 보안 조치를 허물다 보면 그만큼 악성코드에 취약해지기도 합니다. 개인 PC라면 혼자 피해를 떠안는 걸로 끝나겠지만, 사무용 PC라면 민형사상 책임을 져야 할 수도 있습니다.

입사 지원 메일에 첨부된 이력서 압축 파일처럼 위장한 악성코드. PDF 파일처럼 보이지만 사실 EXE 파일이

이메일 열람도 조심해야 합니다. 이메일 첨부파일도 악성코드의 주된 유포 경로입니다. 이력서, 급여명세서 등 정상적인 파일로 가장하고 있지만 실은 악성코드인 경우도 보고되고있습니다. 특히 확장자가 실행파일인 exe라면 악성코드일 가능성이 매우 높습니다. 출처가 확인된 메일이거나 신뢰할만한 발신인이 보낸 메일이 아니라면 첨부파일을 함부로 내려받아서 실행해서는 안 됩니다.

첨부파일 이름에 문서(PDF)나 그림(JPG) 등 잘 알려진 파일 확장자를 넣어서 교묘하게 위장하는 경우도 있으니 파일 유형을 주의 깊게 확인할 필요가 있습니다. 만약 이러한 첨부 파일을 열려고 하는데 운영체제에서 ‘이 앱이 사용자 디바이스를 변경할 수 있도록 허용하시겠냐’는 권한 요청 메시지를 띄운다면 악성코드라고 보면 됩니다. 정상적인 문서나 그림 파일이라면 이러한 권한을 요청할 일이 없기 때문입니다.

 

가장 대표적인 랜섬웨어 감염경로는 불법 소프트웨어 다운로드를 받아 설치를 할 경우입니다. 바이러스나 악성코드에 감염이 될 수도 있다는 것을 알고도 다운로드 받아서 사용하고, 백신이나 안티랜섬웨어 제품의 실시간 감시를 꺼두는 것이 일반적인 상황이라 더 쉽게 감염이 될 수 있습니다. 불법 소프트웨어의 경우 언제든지 악성코드로 변할 수 있기에 절대 사용하지 않는 것이 가장 좋습니다. 예전에는 이상없이 사용했는데라고 생각할 수 있지만 언제 어떻게 바뀔지 알 수 없고 언제든지 바뀔 수 있다는 점 기억해 주시기 바랍니다.

 

또 다른 랜섬웨어 감염경로는 불법 무료 동영상 스트리밍 다시보기 사이트의 링크입니다. 보안이 취약한 사이트이기에 해커가 미리 바꿔둔 페이지로 연결이 되어 쉽게 감염이 될 수 있다는 것입니다. 언제든지 해커는 정상인 사이트와 감염이 되도록 만들어둔 사이트로 바꿀 수 있기에 평상시에는 정상인 영상이 보이다가도 갑자기 감염이 될 수도 있다는 점 꼭 기억을 해두시기 바랍니다. 평소에는 이상이 없으니 아무 의심없이 너무 쉽게 접속을 하고  감염이 되는 것입니다. 무조건 감염이 되는 것은 아니지만 아무나 너무 쉽게 접속이 가능하기에 가장 많은 피해가 발생하고 있습니다. 피할 수 있는 방법은 딱히 없기 때문에 가급적 이런 불법 동영상 다시보기 사이트의 링크는 접속하지 않는 것이 좋습니다.

 

다른 랜섬웨어 감염경로는 유X브 동영상 내려받기 사이트를 이용하는 것입니다. 유X브 주소에 SS를 붙이는 방법을 사용하면 쉽게 내려받기를 할 수 있다는 정보가 많이 있어 누구나 쉽게 하지만 이것 역시 해커가 미리 만들어둔 사이트로 연결이 되어 감염이 되어 버리는 경우가 많습니다. 누구나 쉽게 할 수 있는 방법이고 딱히 이상한 점이 없다는 것이 쉽게 감염이 되는 결과로 이어지게 됩니다. 

 

 

 

랜섬웨어에 감염을 피하기 위해서는 절대 위험해 보이는 사이트에는 접속하지 않는 것이 좋으며, 백신이나 안티랜섬웨어를 실시간 감시를 통해 위험하다고 경고메시지가 나오면 절대 실행하지 않는 것이 좋습니다.

 

 

▣ 피해사례 3가지

 

① 모바일 게임 서비스 종료

: RPG게임 회사인 부나비게임즈에서 '파죽지세 영걸전'을 출시해 운영 중이다가 서버 이전 작업 중 랜섬웨어에 서버가 감염되어 해결하지 못하고 서비스를 종료한 사례가 있습니다.

 

 

② 병원 진료 마비

: 한 종합병원에서 환자들의 정보가 들어있던 서버에 랜섬웨어가 감염되어  몇일 동안 환자 진료를 보지 못하거나 , 수동으로 종이에 적어가면서 진료를 한 사례도 있습니다. 이 병원은 결국 거금의 비용을 두 번 지급하고 패스워드를 받아 해결했던 사례입니다.

 

 

③ 기업 서비스 장애

: 미국 IT 서비스 기업 카세야에서 랜섬웨어 공격으로 인해 수백개의 기업들이 서비스 장애를 겪은 사례도 얼마 전에 발생했습니다. 카세야는 원격으로 모니터링 및 관리 소프트웨어를 제공하는 기업인데 , 랜섬웨어를 통해서 200개 이상의 고객사 컴퓨터를 감염시켜 서비스를 마비시켜 문제가 된 사례입니다.

 

 

 

2. 감염 증상 5가지

 

랜섬웨어에 감염되면 나타나는 증상 5가지에 대해서 알아보죠.

 

1. 파일들이 암호화로 잠김
2. 파일 확장자 이름이 길게 바뀌어져 있다
3. 클릭하여도 파일이 열리지 않음
4. 폴더나 파일에 영문의 TXT파일이 따라다닌다
5. 바탕화면이 바뀌는 경우

 

랜섬웨어에 걸리면 발생하는 감염과정에 대해서 알아보면 첨부파일 / 감염 사이트 보안 취약 공격 → 변환 프로그램 동작 , 파일 암호화 → 바탕화면 변경 , 테스트 문서(안내문구 표시) → 자동스케쥴 , 시작프로그램 숨김 파일 이용하여 지속적 공격 → 파일 열리지 않음

 

 

 

3. 랜섬웨어 예방방법 8가지

 

랜섬웨어에 걸리지 않기 위한 예방 방법 8가지에 대해서 알아보고 , 평소에 실천할 수 있도록 해보죠.

 

 

① 출처를 알수 없거나 신뢰할 수 없는 메일의 첨부파일 다운로드 금지

 

② 문서파일 매크로 실행 금지

 

③ 신뢰할 수 없는 토렌트 파일 다운로드 금지

 

④ 신뢰할 수 없는 사이트 접속 금지

 

⑤ 익스플로러 , 플래시 , 윈도우 등 프로그램 보안 업데이트 실시

 

⑥ 서버 , PC  백신 설치 및 최신 보안 업데이트 실시

 

⑦ 인터넷망과 중요 DB가 있는 망 분리

 

⑧ 클라우드 또는 외부 저장장치에 주기적 파일 백업 실시

 

 

 

 

 

4. 감염 조치 방안 및 랜섬웨어 종류

 

< 랜섬웨어 보안 >

 

- 추가 감염을 막기 위해 , 즉시 연결되어 있는 랜선 분리 및 시스템 전원 OFF

 

- 포맷하지 않은 상태로 사이버팀이나 한국인터넷 진흥원에 신고

 

- 복구 가능한 랜섬웨어인지 여부 확인        

 (www.nomoreransom.org/co/index.html)

 

- 데이터 복구 전문 업체를 통해 복구 여부 확인 및 진행

 

- 감염된 PC는 포맷 후 백신 설치 후 사용

 

 

 

▣ 랜섬웨어 종류

 

랜섬웨어 종류	특징
매그니베르,소디노키비	국내에 가장 많은 감염을 발생시켜 피해를 입힌 랜섬웨어이며 강력한 AES-256알고리즘으로 문서,그림,파일을 암호화하는 방식을 사용.  스팸 메일등을 이용한 공격
매트릭스	확장자명이 변경되지 않는 랜섬웨어이며 , 암호화된 파일 갯수를 측정해 금액을 요구하는 랜섬웨어. 12시간이 지날 때 마다 100달러씩 금액을 올리는 것이 특징입니다.
달마,포보스,비트락커	보안이 취약한 중소기업 , 병원 , 학교등에 있는 서버를 주고 공격하는 서버 랜섬웨어입니다. 윈도우에서 지원하는 Remote APP를 통해 침투하는 방식을 사용
페트야	이 랜섬웨어는 하드웨어 자체 접속을 막아 비용을 요구하는 악질 랜섬웨어입니다.  감염되면 마스터 부트레코드 영역의 로더를 악성코드로 대체시켜 강제 재부팅을 시도하여 하드웨어 자체를 암호화 시켜버리는 방식을 사용합니다.

 

이번 시간에는 랜섬웨어에 대해서 알아봤는데요. 네트워크를 악용한 범죄들이 점점 더 교묘해지고 있는 것 같습니다. 평소에 보안에 신경 쓰셔서 범죄의 대상이 되지 않도록 주의를 기울이는 게 필요할 듯합니다.