랜섬웨어 주의보: 내 데이터가 위험하다!

TECH/IT 트렌드


 

랜섬웨어가 전 세계를 위협하고 있습니다. 지난 5월, 유럽, 러시아, 중국 등을 강타한 랜섬웨어 '워너크라이(WannaCry)'로 윈도우7과 XP를 이용 중이던 많은 기업, 병원, 사용자가 피해를 입었습니다. 마이크로소프트(MS)가 지원을 중단한 윈도우XP에 긴급 보안 패치를 제공할 정도였죠. 국내에서는 중견 웹 호스팅 업체 ‘인터넷나야나’가 랜섬웨어 변종 에레부스(Erebus)에 공격 당했습니다. 153대의 서버가 감염돼 호스팅 서비스를 받던 3,400여 개 홈페이지가 마비되기에 이르렀죠. 인터넷나야나는 파일 복구를 위해 해커에게 13억 원을 지불하고 복호화키를 받아야 했습니다. 문제는 앞으로도 누구나 랜섬웨어의 피해자가 될 수 있다는 점입니다. 랜섬웨어는 왜 이렇게 기승을 부리는 것일까요? 랜섬웨어가 창궐하게 된 배경과 대처방법을 자세히 알아보겠습니다.




_ 랜섬웨어가 뭐길래

 


 

랜섬웨어는 ‘몸값(Ransom)’과 ‘악성코드(Malware)’의 합성어입니다. PC, 스마트폰, 서버 속 특정 파일을 암호화한 후, 해당 파일을 이용하고 싶으면 비용을 지불하라는 형태의 악성코드죠. 랜섬웨어는 사용자가 보유한 모든 종류의 파일을 노립니다. 이미지, 동영상, MS 오피스 문서, PDF 문서부터 XML이나 DB까지 암호화의 대상이 되죠. 국내에 침투한 랜섬웨어는 한컴 오피스 문서 등 국내에서 널리 이용되는 문서 파일까지 모두 암호화합니다. 


작년은 랜섬웨어의 해라고 해도 과언이 아닐 정도로 랜섬웨어가 기승을 부렸습니다. 랜섬웨어로 입은 피해를 복구하기 위해 해외에선 10억 달러(약 1조 1,000억 원), 국내에선 약 100억 원의 돈이 해커들에게 흘러 들어간 것으로 조사되었습니다. 더 심각한 것은 랜섬웨어가 날이 갈수록 더 기승을 부린다는 사실인데요. 그 이유는 크게 세 가지입니다.



하나. 데이터를 인질 삼아 돈을 요구


랜섬웨어의 가장 큰 목적은 '돈'입니다. 랜섬웨어를 만들거나 전파한 해커는 부당한 이익을 취할 수 있기 때문이죠. '바이러스'나 '웜' 같이 과거에 유행한 악성코드는 해커가 자신의 실력을 과시하고 싶어서 또는 단순히 재미 삼아 만든 것이 대부분이었습니다. 반면 랜섬웨어는 처음부터 사용자와 기업의 돈을 노립니다. PC나 스마트폰의 기능은 살려두고 데이터를 인질로 잡은 채 돈을 요구하니, 사용자와 기업은 눈물을 머금고 해커에게 돈을 지불할 수 밖에 없습니다.


이러한 구조 때문에 해커는 랜섬웨어를 배포하고 얼마 지나지 않아 금전적 이익을 취할  수 있습니다. 한 번 돈을 뜯어낸 해커는 다른 랜섬웨어를 제작해서 또다시 배포할 가능성이 큽니다. 그 결과 랜섬웨어는 더욱 늘어나고 피해자도 우후죽순 생겨났죠. 해커는 늘어난 피해자만큼 더 많은 부당 이익을 취하게 되는데요. 이러한 악순환이 계속 반복되면서 랜섬웨어 암시장 규모가 나날이 확대되고 있습니다.



둘. 랜섬웨어도 분업화, 생산과 공급 체계로 확대-재생산 


랜섬웨어가 폭증하는 두 번째 이유는 '서비스형 랜섬웨어(Ransomware as a Service)'로 정의할 수 있습니다. 이름은 거창하지만 본질은 '랜섬웨어 대신 만들어주기'에 불과하죠. 


과거 악성코드는 개발자가 곧 배포자이기도 했습니다. 악성코드로 부당 이익을 취하고 싶으면 직접 개발부터 배포까지 해야 했기에, 프로그래밍 기술이 없으면 진입할 수 없었죠. 하지만 랜섬웨어는 반대입니다. 암시장의 규모가 커지면서 랜섬웨어 개발과 배포(생산과 공급)가 분리되는 어이없는 지경에 이르렀기 때문입니다. 기술력을 가진 해커가 랜섬웨어를 만들면, 실행하는 해커가 이 랜섬웨어를 구입해 배포합니다. 심지어 랜섬웨어 공급은 이미 2가지 형태로 이루어지는데요. 아예 완성된 랜섬웨어를 공급하는 방식, 배포자가 공급자로부터 랜섬웨어를 만드는 도구를 공급받아 배포자가 원하는 대로 만드는 방식이 있다고 합니다. 생산과 공급이 분리되면서 효율성이 증대되었고, 그 탓에 시중에 유통되는 랜섬웨어도 점점 늘어나는 것입니다. 불과 6개월 만에 랜섬웨어의 수가 11배 증가한 데에는 이러한 뒷 사정이 존재합니다. 



셋. 가상 화폐 비트코인, 범인 정체 숨기기 최적 



 

랜섬웨어의 피해가 극심함에도 범인을 찾기는 매우 어려운데요. 랜섬웨어는 유통망 추적이 매우 어려운 가상화폐 '비트코인'을 이용하기 때문입니다. 


랜섬웨어에 걸리면 예외 없이 비트코인으로 데이터 값을 내라는 안내 메시지가 나오는데요. 국가에 의해 철저하게 유통망이 관리/감독되는 일반 화폐와 달리, 비트코인은 유통망을 추적하기 매우 힘듭니다. 관리/감독의 주체가 없고, 거래 기록이 거의 남지 않기 때문입니다. 물론 추적이 아예 불가능한 것은 아닙니다. IP 주소 등 흔적이 남고, 달러 등 실제 화폐로 교환할 경우 바로 추적할 수 있습니다. 이를 활용해 전 세계 각국이 해커를 검거하기 위해 노력하고 있죠. 


비트코인은 현재 랜섬웨어 비용 지불, 마약, 무기 등 불법 거래에 널리 이용되고 있습니다. 2016년 비트코인의 전체 가치는 약 170억 달러 정도로 추정되는데요. 이 가운데 10억 달러가 랜섬웨어를 만든 해커에게 돈을 지불하기 위해 거래되었습니다. 이 수치도 집계된 내역만을 근거로 한 것이니, 실제로는 훨씬 많은 비용이 해커에게 흘러 들었을 겁니다. 민주적인 화폐를 만들겠다는 비트코인의 처음 이상은 퇴색되고 불법 거래용으로 각광받는 현실이 참으로 안타깝습니다. 



 

★ 나날이 정교해지는 랜섬웨어 침투 방식


랜섬웨어가 돈이 된다는 사실이 알려지면서 랜섬웨어의 침투 방식도 나날이 정교해지고 있습니다. 우리의 PC와 스마트폰을 감염시키기 위한 랜섬웨어의 침투 방식은 크게 세 가지 단계로 구분할 수 있습니다.


설치를 유도하는 방식

이메일이나 홈페이지를 통해 랜섬웨어가 섞여 있는 특정 파일을 내려 받거나 설치하도록 유도하는 방식으로, 랜섬웨어 침투 방식 중 가장 큰 비중을 차지합니다. 액티브X를 설치하게 유도하는 방식도 포함됩니다. 가장 기초적인 랜섬웨어 배포 방법으로, 바이러스 백신이 탐지하기 쉽고 사용자가 조금만 주의를 기울여도 피해를 예방할 수 있습니다.


프로그램의 취약점을 노리는 방식

어도비 플래시, 웹 브라우저, 문서 파일 등의 보안 취약점을 이용해서 랜섬웨어가 사용자의 PC에 침투하는 방식이죠. 이를 '드라이브 바이 다운로드(Drive by Download)'라고 부르는데요. 감염된 파일을 내려받지 않아도, 보안이 취약한 프로그램을 사용하기만 해도 랜섬웨어가 침투할 수 있는 만큼 특별히 경계해야 합니다.


운영체제의 취약점을 노리는 방식

윈도우, 안드로이드 등 운영체제의 보안 취약점을 틈타 랜섬웨어가 사용자의 PC에 침투하는 방식인데요. PC나 스마트폰을 켜서 인터넷에 연결하기만 해도 감염될 우려가 있습니다. 희귀한 침투방법이지만, 피해 규모는 가장 큽니다. 이번에 큰 피해를 유발한 워너크라이가그 대표적인 사례인데요. 최근 기승을 부리는 랜섬웨어 '페트야(Petya)' 역시 워너크라이처럼 윈도우의 SMB 프로토콜 취약점을 노린다고 하네요. 





_ 보안의식 강화시킨 랜섬웨어

 

 

랜섬웨어에 의한 피해가 커지며 사회에 변화를 이끌어 냈습니다. 우선 긍정적인 변화입니다. 사용자와 기업의 보안 의식이 강화된 것입니다. 사용자가 랜섬웨어에 대처하기 위해 주기적으로 파일을 백업하기 시작했습니다. 수상한 홈페이지에는 접속하지 않게 되었고, 수상한 파일은 내려받지 않게 되었습니다. 바이러스 백신 선택과 설치에 대한 관심도 높아졌죠. 기업 또한 보안 교육 및 강력한 보안 솔루션 도입에 많은 투자를 하기 시작했습니다. 

  

▲기기, 데이터, 앱을 24시간 내내 안전하게 보호해주는 구글 플레이 프로텍터 (출처: 안드로이드)

  

  

운영체제와 프로그램 개발사들도 사용자들의 반발을 감수하고 좀 더 강력한 보안 정책을 펼치고 있습니다. MS는 윈도우10에 기본 바이러스 백신인 윈도우 디펜더를 추가해, 강제로 보안 업데이트가 진행되도록 설정했습니다. 구글은 차세대 운영체제 '안드로이드 O'에 기본 바이러스 백신인 '구글 플레이 프로텍터'를 추가하기로 결정했습니다. 어도비는 랜섬웨어의 온상인 '플래시 플레이어'를 더 이상 사용하지 말라고 권고를 내리고 있죠.


 

 

_ 랜섬웨어, 그래픽카드 품귀 현상을 빚다!

 


물론 부정적인 변화도 일어났습니다. 섬웨어가 유행하면서 해커에게 돈을 지불하기 위한 수단인 비트코인(이더리움 등 다른 가상화폐 포함)의 시세가 폭등했는데요. 때문에 과거에는 채산성이 없다고 여겨져 중단됐던 '마이닝(Mining, PC 등을 이용해서 가상화폐를 채굴하는 행위)'이 다시 각광받고 있죠. 그 덕분에 시중 그래픽 카드의 씨가 말랐습니다.


비트코인 마이닝은 해시코드 함수를 풀어야 하기 때문에 단순 연산에 최적화된 그래픽카드의 성능을 많이 요구합니다. 24시간 내내 그래픽카드의 성능을 최대로 이용하기 때문에 고장 날 확률도 높은데요. 때문에 중고로 그래픽 카드를 대량으로 구매해 병렬로 연결하여 이용합니다. 이 탓에 시중의 그래픽카드가 씨가 마르는 사태가 일어났고, 선량한 게이머들이 그래픽카드를 구매하지 못하고 발을 동동 구르게 되었죠. 최근엔 마이닝이 비효율적이라는 사실이 밝혀지면서, 마이닝에 이용되었던 그래픽카드가 중고시장에 풀리고 있는데요. 이 그래픽카드는 24시간 혹사되었던 제품이라 언제 고장날지 모르는 시한 폭탄과도 같습니다. 중고시장에서 지나치게 저렴한 그래픽카드나 벌크형(케이스 없이 제품만 판매하는 것) 그래픽카드는 본다면 구매를 삼가야 합니다.



 

★ 랜섬웨어 방지 7계명


랜섬웨어로 인한 피해를 방지하기 위해 사용자와 기업은 다음과 같은 대처법을 반드시 숙지해야 합니다. 몇 번을 강조해도 부족하지 않습니다.


1. 운영체제 및 웹 브라우저를 항상 최신 버전으로 유지하기

특히 보안 관련 업데이트는 반드시 받아야 하는데요. KISA(한국인터넷진흥원)에 따르면 워너크라이의 국내 감염 사례는 윈도우7과 윈도우XP에 치중되어 있었고, 윈도우10이 감염된 사례는 단 한 건도 보고되지 않았습니다. 윈도우10은 강제 업데이트 시스템 때문에 해당 보안 취약점에 노출된 PC가 거의 없었다고 하네요. 


2. 지원이 중단된 운영체제와 프로그램은 사용하지 않기

이는 1번과 연결된 문제인데, 지원이 중단된 운영체제와 프로그램은 해당 취약점을 제거하는 패치를 제공하지 않을 가능성이 높기 때문입니다. 워너크라이가 성행하자 MS가 위도우XP의 보안 패치를 긴급 배포한 바 있지만, 이는 매우 예외적인 사례입니다. 


3. 중요한 파일은 항상 2중 또는 3중으로 백업하기

백업 장소는 외장하드, NAS, 클라우드 등 어디라도 좋습니다. 인터넷과 바로 연결되어 있지 않은 장소여야 합니다. 웹 브라우저로 백업하는 습관을 들이기 힘들다면 원드라이브, N드라이브 등이 제공하는 공유 폴더 기능을 이용해보세요. 파일 백업이 훨씬 편리해집니다.


4. 보안이 취약해보이는 홈페이지(수상한 광고가 덕지덕지 붙은 홈페이지)에는 절대 접속하지 말기

특히 각종 영화, 드라마, 만화 등을 무료로 볼 수 있다고 홍보하는 곳은 랜섬웨어의 온상이나 다름없습니다. 


5. 신뢰할 수 있는 바이러스 백신 설치

바이러스 백신 성능 테스트 결과를 살펴보면 국산 바이러스 백신도 충분히 신뢰할 수 있을 정도의 성능을 보여주는데요. 특히 국내에서 발견된 변종 랜섬웨어는 외국산 바이러스 백신보다 국산 바이러스 백신이 더 잘 탐지합니다.


6. 조금이라도 수상한 파일은 내려받지도 말고 실행하지도 말기

인터넷 보안의 기본이죠.


7. 망분리 PC와 문서중앙화 시스템을 이용하기

이는 중소기업을 위한 조언입니다. 중소기업이 대기업보다 랜섬웨어로 인한 피해를 훨씬 크게 입는 것이 현실입니다. 개별 파일을 직원의 PC 내부에 저장하는 경우가 많기 때문입니다. 때문에 망분리 PC를 도입해 외부 인터넷 접속과 내부 시스템 운영을 별도로 관리하는 것이 좋습니다. 문서중앙화 시스템을 통해 개별 파일을 중앙서버에서 관리하면 직원의 PC에 랜섬웨어가 침투하더라도 중요한 파일이 유실될 우려를 줄일 수 있죠.



 


지금까지 랜섬웨어의 유포와 피해, 대처방법에 대해 알아보았는데요. ‘돈이면 해결되겠는데?’ 라는 안일한 생각도 금물입니다. 해커에게 돈을 지불하면 돈을 준 만큼 랜섬웨어가 더욱 기승을 부릴 것이기에, 랜섬웨어로 인한 악순환의 고리를 끊을 수 없겠죠. 게다가 카스퍼스키의 조사에 따르면 돈을 지불한 5명 가운데 1명은 암호를 해제할 수 있는 복호화 키를 받지 못했다고 합니다. 데이터도 못 쓰게 되고 돈은 돈대로 날리는 셈이죠. 결론은 예방이 최선이라는 점입니다. 자나 깨나 랜섬웨어 조심, 잊지 마세요! 




저작자 표시 비영리 변경 금지
신고
< 공유하기
첫 댓글을 남겨보세요
  • Favicon of http://nam0313.tistory.com 남 이 2017.07.04 20:32 신고 ADDR 수정/삭제 답글

    모바일은 아무래도 아무 와이파이 안잡거나 의심들 파일 다운하지않고 PC도 거의동일하게 인터넷 웹사이트는 거의 막 드가지않고 또한 파일도 막 다운받지않는게 좋다네요! 만약 걸린다면 거의 즉시 초기화하는게 좋다고 알려져잇네영

1 ··· 167 168 169 170 171 172 173 174 175 ··· 2326


티스토리 툴바