[Security News] 계속되는 랜섬웨어의 위협, 예방/대응 방법

* 본 콘텐츠는 2019년에 작성되었으며 홈페이지 개편으로 인해 새로 업로드된 게시글입니다. 참고 부탁드립니다.

지난해 국내에서 가장 주목을 받은 랜섬웨어는 ‘갠드크랩’이었습니다. 갠드크랩은 대표적인 서비스형 랜섬웨어기반으로, 다크웹에서 판매되고 있습니다. 유포자는 다크웹에서 갠드크랩을 구매해 유포하고, 감염시스템 정보, 복호화 키 정보 등을 웹 페이지를 통해 관리합니다.

갠드크랩의 특징은 버전 업데이트가 빠르다는 점입니다. 램섬웨어로 발생한 수익을 유포자와 개발자가 나누는 시스템을 가지고 있어 개발자는 구매자에게 지속적인 기술지원과 업데이트를 제공합니다. 또한 갠드크랩은 백신 프로그램을 무력화하고, 파일 암호화하는 알고리즘과 암호화 키 생성 및 관리 방식을 변경하는 등 고도화 및 지능화되고 있습니다.

갠드크랩은 다양한 유포방식을 이용해 공격을 시도하고 있습니다. 그 중 이메일을 통한 유포는 대상을 특정하지 않으면서 정부기관이나 기업을 사칭해 배포되고 있습니다. 가장 먼저 발견된 사칭 유포는 디자이너 사칭으로, ‘저작권에 위배되었으니 첨부파일을 확인해달라’는 내용이었습니다. 첨부된 압축파일에는 문서파일로 위장한 ‘바로가기(.lnk)’ 파일이 포함되어있습니다. 이 파일을 실행하면 첨부된 랜섬웨어 파일인 ‘this.exe’ 파일이 자동 실행되고, PC내 주요 파일들이 암호화됩니다.

그 외에도 MS WORD의 매크로기능을 악용한 입사지원서 위장하거나, 공정거래위원회를 사칭해 전자상거래 위반행위 조사통지서를 위장한 사례 등이 확인되고 있습니다.

최근에는 경찰청을 사칭한 피싱 메일이 유포되고 있습니다. ‘명예훼손관련고소장_날짜’, ‘출석요구서_날짜’ 제목의 .doc파일이 압축 첨부되어 있으며, 전과 다르게 이메일 도메인도 helpdesk@(지역명)police.com로 위장하고 있어 각별한 주의가 필요합니다.

KISA 및 보안기업들은 모두 올해 랜섬웨어가 더욱 고도화 및 지능화돼 위협도가 커질 것으로 전망했습니다. 한글 윈도우 환경에서만 동작하도록 설정된 매그니베르 랜섬웨어나 사용자 IP주소를 체크해 한국 사용자와 그 외 사용자를 구별하고 각각 다른 감염방식을 전개한 갠드크랩의 사례로 랜섬웨어의 타깃화, 국지화가 이어질 것으로 예상됩니다.

랜섬웨어 예방/대응 방법

국내에서 기승을 부리고 있는 랜섬웨어를 살펴보면 2017년 윈도우 취약점을 통해 감염됐던 워너크라이가 아직 톱3에 포함되고 있습니다. 이는 최신 보안 업데이트가 안된 시스템이 아직도 많다는 것을 의미합니다. 워너크라이 같은 경우 윈도우 보안 업데이트만으로도 예방이 가능한 랜섬웨어입니다. 이처럼 간단한 조치로 예방이 가능한 랜섬웨어는 예방을 할 수 있도록 참고할 수 있는 리스트가 있습니다.

랜섬웨어 대응 체크리스트

01 소프트웨어 최신 업데이트
– 운영체제(OS)와 응용 프로그램(SW)은 최신 보안 업데이트 상태로 인터넷 접속

02 출처가 불명확한 이메일과 URL 링크 실행 주의
– 스팸 메일에 첨부파일 또는 URL 링크를 통해 랜섬웨어가 유포되고 있어 실행 주의 필요

03 파일공유 사이트 또는 신뢰할 수 없는 사이트를 통한 파일 다운로드 및 실행 주의

04 데이터 백업
– 중요 정보를 별도의 저장장치(외장하드, 클라우드 등)에 백업
– 운영체제에서 제공하는 ‘사용자 파일백업 및 복원기능’을 이용

05 취약점 관리 및 패치

06 직원 교육
– 감염 예방 대책 및 감염 의심 시 행동요령 등, 보안대책을 수립하고 교육 등을 통해 전직원이 숙지할 수 있도록 조치

전문가들은 랜섬웨어 대비로 백업의 중요성을 강조합니다. 하지만 제대로 된 백업 테스트가 진행되지 않는 것도 문제의 악순환을 야기시킵니다. 심지어는 테스트를 아예 진행하지 않거나, 테스트를 해도 단일 데이터베이스나 서버를 제한적으로 복구하고 마치기도 합니다.

랜섬웨어에 감염되었을 때, 백업이 양호한 상태라고 해도 해커에게 비용을 지불하는 것이 더 싸게 먹힌다고 주장이 일부 있다. 데이터와 서비스를 복원하는 일은 일반적으로 매우 많은 시간이 걸리기 때문이다. 그러나 해커에게 비용을 지불했다고 해서 복원한 후 완벽히 작동할 것이라는 보장은 없다. 데이터 복원이 유효하더라도, 서버나 서비스를 시작해 애플리케이션을 실행했을 때 오류가 발생할 수 있다. 실제로 해커에게 비용을 지급한 기업의 약 40%는 암호화한 데이터에 안정적으로 접근하지 못했다. 그러면 다시 서비스를 복구해야 하므로 비용을 2배로 들어간다.

랜섬웨어에 감염되었다면?

1) 랜섬웨어에 감염됐을 때에는 랜섬웨어 감염여부와 종류, 증상을 확인하고, 피해를 최소화하기 위해 외부 저장장치 연결 해제 및 네트워크 차단 조치를 취합니다. 랜섬웨어의 유형을 파악해 백신SW 제조사 홈페이지 등을 통해 복구 툴이 있는지 확인하는 것이 도움이 될 수 있습니다.

또한 감염 알림창 및 암호화된 파일을 캡처해 증거를 저장하고, 경찰청 사이버안전국과 KISA 사이버민원센터에 신고하도록 합니다.

[랜섬웨어 감염 시 대응 절차(출처:KISA)]

2) PC를 포맷한 뒤 운영체제를 재설치하고, SW 최신 보안 업데이트를 적용한 뒤, 기존에 외장하드나 클라우드 백업 솔루션을 통해 백업 놓은 데이터를 통해 복구합니다. 백업을 하지 않았다면 노모어랜섬(No More Ransom) 홈페이지에서 제공하는 복구도구를 통해 일부 복구가 가능하니 적당한 복구도구가 있는지 확인하는 것이 좋습니다. KISA는 백업 데이터가 없다면 암호화된 데이터를 보관해야 한다고 설명합니다. 추후 파일 및 시스템을 복구할 수 있는 도구가 제공될 수 있기 때문입니다. 다만 이는 수많은 랜섬웨어 중 극히 일부분일 수밖에 없습니다.

3) 권장하지 않지만 해커와 협상하는 방법이 있습니다. 이 방법의 경우, 앞서 말한바와 같이 비용을 지불하더라도 복호화되지 않을 가능성이 높습니다. 또한 일부 전문가들은 복호화 비용을 지불한다면, 안좋은 선례를 만들어 향후 랜섬웨어 공격의 타깃이 될 수 있다고 지적합니다.

랜섬웨어에 대한 가장 최선의 대응 방법은 예방입니다. 또한 랜섬웨어에 감염되어도 비즈니스 연속성을 위한 대비를 마련하는 것이 중요합니다. 랜섬웨어에 대한 논란이 사그라드는 요즘, 랜섬웨어 예방에 다시 한번 주의를 기울이고 경각심을 가지는 기회를 가지길 바랍니다.

출처 : IT World, ZUM NEWS, KISA, e프라이버시