발달된 IT기술 덕분에 우리는 편리한 생활을 누리고 있다. 스마트폰으로 이동하면서 학습을 하고 게임까지 즐긴다. 가정과 직장에서 PC를 이용해서 업무를 처리하는데 인터넷을 이용해 먼 곳에 있는 데이터도 이용할 수 있다. 필요하면 원격제어 기능을 이용해 다른 PC 내부의 기능을 완벽하게 사용한다.


그렇지만 이런 편리한 기능 뒤에는 항상 새로운 위협이 숨어있다. 사람을 편리하게 하는 칼이 때로는 사람을 다치게 하는 흉기가 되는 것과 같은 이치이다. IT 기기의 편리한 기능을 악용해 반대로 사이버 테러를 저지르는 해킹사례가 늘어나고 있다. 



▲ 사진출처 : 와이어드



미래부 조사결과에 따르면 2016년 국내 기업 가운데 3.1퍼센트가 데이터 침해 사고를 경험했다. 특히 최근 부쩍 늘어나는 사이버위협은 ‘랜섬웨어’이다. 사용자의 데이터를 인질로 잡고는 돈을 요구하는 랜섬웨어는 특성상 피해액이 크고 치료도 쉽지 않다. 2017년을 맞아 새로운 위협으로 다가온 랜섬웨어의 원리와 예방방법을 알아보자.



랜섬웨어란?


랜섬웨어란 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어 제품을 뜻하는 웨어(Ware)가 합쳐진 단어이다. 악성코드로서 사용자의 동의 없이 컴퓨터에 설치되어 내부 파일을 인질로 잡아 금전적인 요구를 하기 때문이다. 일반적으로 윈도우 운영체제가 설치된 PC에서 가장 많이 발생하지만 모바일 환경에서도 발생하며, 맥 OS도 감염될 수 있다.



▲ 사진출처 : 와이어드



많은 형태가 있지만 ‘크립토락커’가 등장하면서 데이터 암호화 형식의 랜섬웨어가 주류를 이루게 되었다. 이런 데이터 암호화 랜섬웨어는 대표적인 특성으로 사용자의 PC등에 있는 중요 데이터를 몰래 암호화해서 사용할 수 없게 만든다. 암호화 작업이 끝나면 사용자에게 데이터가 암호화되었으며 일정 시간 내에 풀지 않으면 전부 삭제된다는 메시지를 보내며 돈을 요구한다. 추적이 어려운 비트코인같은 수단으로 지정한 액수의 돈을 보내면 암호화를  해제하는 코드를 보내주기도 한다. 다만 돈만 받고 코드를 보내주지 않는 경우도 많다.


피해사례도 상당히 많다. 국내에서는 2015년 클리앙의 광고서버가 해킹되어 크립토락터가 퍼졌다. 단순히 클리앙 사이트에 접속해서 게시판을 보는 것만으로도 감염되었기에 피해가 컸다. 이후 디시인사이드와 seeko도 마찬가지 방법으로 랜섬웨어를 확산했다. 이때 회사PC로 해당 사이트를 접속한 사용자는 중요한 회사정보가 담긴 파일이 암호화되는 바람에 어쩔 수 없이 해커에게 큰 돈을 지불하고 코드를 얻으려 하는 경우도 있었다.





▲ 사진출처 : 시멘틱



단순한 PC 데이터만이 아니다. 오스트리아의 고급 호텔에서는 호텔 객실키 시스템을 해킹당해 손님을 수백명이 객실 안팎에서 꼼짝 못 하게 되기도 했다. 객실키 카드가 포함된 최신 IT 시스템을 갖춘 이 호텔은 3번이나 공격을 받아 객실키 시스템 전체가 다운되었다. 


손님들은 호텔 방을 출입할 수 없었으며 카드키를 새로 프로그래밍할 수 도 없었다. 결국 호텔측은 해커에게 거액을 보냈으며 돈을 받은 해커는 객실키 등록 시스템과 모든 컴퓨터의 잠금을 풀어 다시 정상적으로 작동되게 했다. 그렇지만 이후에도 백도어를 심어 추가로 돈을 요구하려는 시도까지 했다.



랜섬웨어에 걸린 후 증상은?


랜섬웨어는 사용자가 보안이 취약한 사이트에 접속하거나, 가짜 정보가 담긴 이메일의 링크를 열거나, 코드를 숨긴 구글 애드센스 같은 광고창을 볼 때 감염된다. 주로 플래시 코드의 취약점을 이용해서 설치되기에 눈치채기 어렵다. 


사용자의 운영체제에서 실행영역의 파일은 그대로 둔 채로 주로 문서, 스프레드시트, 그림 파일 등을 몰래 암호화해 열지 못하도록 한다. 구체적으로는 업무에 많이 쓰는 xls, doc, pdf, jpg, avi, rar, zip, mp4, png, psd, hwp 등을 노린다. 몰래 빠르게 암호화해야 하기에 용량이 너무 큰 파일은 나중에 암호화하거나 단순히 확장자만 바꿀 수도 있다.



▲ 사진출처 : bleepingcomputer



랜섬웨어에 감염되면 해당 기기의 모든 성능을 전부 끌어내서 암호화를 시작한다. 따라서 거의 모든 메모리를  할당받아 파일을 암호화하기 시작한다. 작업을 거의 하고 있지 않는데 많은 발열과 함께 시스템이 느려지고 하드디스크 같은 저장매체를 쉴 새없이 돌린다면 의심해봐야 한다. 때로는 지능적으로 일정한 간격을 주면서 암호화 작업을 해서 컴퓨터이상을 숨기는 종류도 있다.


암호화가 모두 완료되면 사용자에게 ‘랜섬웨어에 걸렸다’ 는 알림창 등을 표시하고 복구를 위한 사이트를 표시해준다. 그 다음부터는 해당 기기로는 대부분의 작업을 할 수 없으며 연결된 외장하드까지도 함께 암호화시킨다. 



랜섬웨어 예방법은?


랜섬웨어는 파일을 특정 개인만 사용할 수 있도록 암호화시키는 정상적인 기능을 악용해서 만들어졌다. 따라서 암호화가 완료된 뒤 피해자가 할 수 있는 효과적 대처방법은 별로 없다. 해당 해커에게 돈을 주면 운좋게 해독코드를 받을 수도 있지만 돈만 받고 코드를 주지 않는 경우도 많다. 


현재 랜섬웨어를 만든 개발자가 검거되어 복호화 키를 압수해서 경찰 등이 이를 공개하는 경우, 랜섬웨어 자체에 결함이 있어서 암호를 알아낼 수 있는 경우가 있다. 그런 일부 경우에는 감염 후에도 관련 정보 검색으로 치료를 통해 데이터를 복구할 수 있다.


중요한 것은 예방이다. 현재 활동하는 랜섬웨어 대부분은 걸리면 그것을 강제로 풀 수 있는 방법이 없다. 따라서 평소의 보안조치가 매우 중요하다.



▲ 사진출처 : 이스트소프트 홈페이지


사용자의 PC에 백신 등의 보안 소프트웨어를 사용하자. 알약 같은 무료백신에도 랜섬웨어를 차단하기 위한 감시 기능이 탑재되어 있다. 또한 무료 랜섬웨어 전문 백신도 이용할 수 있다. 이런 백신을 항상 최신으로 업데이트하고 의심스러운 사이트에 접속하지 않으면 어느 정도 예방이 가능하다. 


중요한 파일에 대한 대비책으로 우선 아주 간단한 방법이 있다. 첫번째로 PC등에 쓰는 중요한 데이터의 확장명을 바꾸는 것이다. 예를 들어 hwp같은 파일을 hwb 같이 확장자 한 자리만 바꿔도 랜섬웨어서는 중요하지 않은 파일이라 인식하고 넘어간다. 이런 파일을 사용할  때만 다시 확장자를 바꿔서 쓸 수 있다.



▲ 사진출처 : 크롬 홈페이지



두번째로 평소 크롬이나 파이어폭스 브라우저를 쓰는 것이다. 많은 랜섬웨어는 어도비의 플래시에서 생기는 취약점을 통해 감염을 유도한다. 특히 여기에는 마이크로소프트사의 익스플로러 브라우저가 취약하다. 따라서 평소에 플래쉬를 지원하지 않는 크롬이나 파이어폭스를 사용하면 감염되기 어렵다.


세번째로 중요한 데이터를 주기적으로 백업하자. 위의 예방법은 랜섬웨어가 진화하면 언젠가 효과가 없어질 수 있다. 그렇지만 백업은 근본적으로 누구도 막을 수 없다. 


▲ 사진출처 : 시놀로지 홈페이지




요즘 가장 많이 쓰는 NAS를 이용하면 좋다. NAS는 장치와 분리된 개별 장치로서 일반적인 PC와 운영체제와 권한설정이 다르다. 따라서 주기적으로 백업하는 설정만 해놓으면 감염된 파일이 생기기 이전 상태로 언제든 돌아갈 수 있다. 만일 NAS를 구입해 쓰기에 가격이 부담스럽다면 한번만 기록할 수 있는 DVD 등에 중요 데이터를 백업해 놓는 것도 좋다.


최근 많은 곳에서 제공하는 클라우드 서비스도 좋은 백업수단이다. 구글드라이브, 드롭박스 등을 이용하면 편리하다. 클라우드 안에 중요한 데이터만 따로 폴더를 만들어 저장할 수도 있다. 만일 자동 동기화에 의해 감염 파일이 백업 되었어도 이런 클라우드 서비스는 일정시간 동안 파일 히스토리를 남기기 때문에 시간이 오래 지나지 않았으면 해당 시간대 상태로 복구할 수 있다.


편리함에는 그만큼의 대가가 따른다. 랜섬웨어 역시 우리가 PC등을 편리하게 쓰기 위해 만든 운영체제 기능을 악용해서 만든 것이다. 따라서 해당 기능자체를 완전히 추방할 수는 없다. 다행히 사용자가 미리 알고 약간 대비하는 것만으로 예방할 수 있으니 소중한 데이터를 지키기 위해 미리 적절한 조치를 해놓도록 하자.