본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2015년부터 본격적으로 국내 외에서 악명을 떨치기 시작한 랜섬웨어(ransomware)는 암호화 방법과 유포방식에서 다양한 방법으로 진화해왔다. 일반적으로 사용자의 문서들을 암호화 하고 경고문을 생성했던 랜섬웨어는 이제는 단순히 사용자의 파일을 암호화하는 작업에서 끝나지 않고 또 다른 행동으로 사용자들에게 위협을 가하기 시작했다.


최근 새롭게 발견된 랜섬웨어들 중 사용자의 시스템 바탕화면에 경고문을 띄우고 이러한 경고에 대한 메시지를 음성으로 전달하는 이른바 ‘말하는 랜섬웨어’가 확인되었다. 감염 시 기존에 .JS 파일을 e-mail에 첨부하여 전파하는 방식과 유사한 방법으로 .JSE파일을 첨부하여 첨부된 파일을 클릭하면 사용자 모르게 랜섬웨어가 설치되어 사용자 문서를 암호화하게 된다.



감염 후에는 사용자의 문서, 사진 등 암호화대상이 되는 파일들을 암호화하는 작업을 수행하며 사용자 바탕화면에 경고문을 생성한다. 또한 ‘#DECRYPT MY FILES #.VBS’ 파일을 생성하여 실행하게 되는데 이 때 텍스트를 음성메시지로 변환하는 Windows SAPI Voices TTS(Text-To-Speech) 코드가 포함되어 있어, 스피커를 통해 당신의 문서와 사진, 데이터베이스 등이 암호화 됐다고 영어 음성으로 안내하게 된다.


또한 새롭게 발견된 랜섬웨어 중 사용자의 문서, 사진과 같은 암호화 대상 파일을 암호화하고 동시에 사용자 시스템의 MBR(Master Boot Record)까지 암호화하는 랜섬웨어도 발견되었다. 이 랜섬웨어는 감염 후 사용자의 문서를 암호화하고 사용자 시스템의 MBR 영역을 암호화 시켜 사용자가 컴퓨터를 재 시작하게 되면 Satana의 MBR 부트 코드가 로드되며 메시지와 함께 정상적인 부팅이 불가하게 된다.




이미 시스템에 한번 감염이 되면 사용자의 문서는 물론이고 PC 조차 사용도 할 수 없게 되니 사용자 입장에서의 피해는 몇배로 커질 수 밖에 없다.


이렇듯 랜섬웨어는 단순 암호화에서 벗어나 점점 진화하고 있다. 앞으로 어떠한 형태의 랜섬웨어가 만들어지고 발견될지 아무도 알 수 없다. 사용자의 시스템의 모든 것을 장악하고 다양한 방법으로 유포되고 있는 랜섬웨어에 걸맞게 보안제품뿐만이 아닌 사용자 또한 철저한 보안의식을 가지고 대비해야 할 것이다.


랜섬웨어는 감염되기 전 예방하는게 중요하므로, 사용자는 OS와 웹브라우저, 플래시 플레이어의 보안 업데이트를 항상 최신 상태로 업데이트 해주고, 자주 사용하는 SW도 항상 최신 버전으로 유지해 주어야 한다. 또한, 랜섬웨어 차단기능을 가지고 있는 백신을 사용하여 미리 예방하는 것도 좋을 것이다.