본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

랜섬웨어란 납치된 사람에 대한 몸값을 뜻하는 영어 ‘Ransom’과 ‘소프트웨어’의 합성어입니다.



과거의 랜섬웨어는 단지 컴퓨터의 화면을 잠그거나 사용자 인터페이스를 바꿔, 사용을 어렵게 한 뒤 원상복구를 전제로 돈을 요구하는 것이 고작이었습니다. 랜섬웨어가 이런식으로 동작할 때 까지만 해도 감염되면 조금 귀찮기는 하지만 보안제품으로 치료하거나, 컴퓨터에서 하드디스크를 분리한 뒤 다른 컴퓨터에 연결해 필요한 자료를 복사하면 그만이었습니다.


그런데 지금은 사정이 많이 달라졌습니다.


이제는 랜섬웨어에 감염되면, 지금까지 모아온 나의 모든 파일자료를 한번에 잃을 수 있습니다. 사용자의 파일을 암호화시켜 영영 못쓰게 만들어버리기 때문입니다.


구체적인 예로, 최근 발견된 CryptoLocker라는 랜섬웨어에 감염되면 악성코드는 일단 PC에 저장된 사용자의 문서와 사진파일 등을 모두 찾아내어 RSA-2048 방식으로 암호화 시킵니다. 문서와 사진, 업무자료, 그 밖의 소중한 파일들을 전혀 알아볼 수 없게 만든 다음 해독에 필요한암호를 받으려면 300달러, 한화로는 약 32만원을 내라고 요구합니다. 프로그램은 몇 일 내로 돈을 내라고 기한을 표시하며 사용자를 계속 압박합니다.



사실, 돈을 보낸다고해서 해독키를 준다는 보장도 없습니다.
과연 돈을 내면 파일을 원래 상태로 돌려 줄까요?


 
크립토락커 악성코드 감염 후 이미지

<크립토락커 악성코드 감염 후 이미지>


 

참고로 RSA-2048로 암호화된 파일은 현재 기술을 기준으로 국가차원의 시설과 비용을 투자해도 해독이 불가능 합니다. 때문에 백신은 랜섬웨어를 삭제할 뿐 암호화된 파일을 복원해 주지는 못하므로, 반드시 암호가 있어야만 풀 수 있습니다. 그래서 꼭 필요한 파일을 복구하고자 속는 셈 치고 돈을 지불해 보는 사람을 노리는 것입니다.


랜섬웨어의 위험 수위가 점점 올라가고 있습니다. 협박을 통해 사용자에게 직접 송금을 유도하는 방법인 만큼, 공격자들은 사용자의 피해가 클수록 범죄가 잘 통한다고 생각할 것입니다.


인터넷뱅킹 악성코드가 국내보다 해외에서 1~2년 정도 먼저 유행했듯이 머지않아 국내 사용자들만을 타겟으로 하는 랜섬웨어도 등장할 수 있습니다.


피해를 예방하기 위해서는 PC보안을 강화하고 중요한 파일은 따로 백업하는 습관도 필요합니다.
랜섬웨어도 감염경로는 여느 악성코드와 다르지 않으므로 불필요한 이메일의 첨부물을 열지 않고 각종 어플리케이션의 보안패치와 백신을 꼭 설치 하시기 바랍니다.


CryptoLocker는 현재 알약에서 탐지가 가능하며, 상세한 분석보고서는 알약보안동향보고서 2013년 10월호에 나와있으니 많은 참고바랍니다.