최근 SNS나 지인들 사이에 “너도 컴퓨터나 노트북에 ‘랜섬웨어 바이러스’ 안 걸리게 조심해.”라는 말이 흔해질 정도로 그 동안 영어권 국가에서 집중적으로 발생했었던 랜섬웨어 바이러스가 지난 4월 처음 한글화된 형태로 등장한 후 현재 국내에서 창궐하고 있습니다.
이 랜섬웨어로 인해 개인 뿐 아니라 기업과 공공기관에서도 두려움에 떨고 있는데요. 실제로 지난 달 21일 경주시에서도 ‘랜섬웨어(ransomware)’ 바이러스로 인해 업무에 차질을 빚는 상황이 발생했고 제 주변에서도 이미 두 사람이 랜섬웨어로 인해 피해를 입었습니다. 오늘은 랜섬웨어 예방차원에서 이 바이러스가 무엇인지에 대해 설명해 드리겠습니다!
PC 사용자 데이터를 인질로? 랜섬웨어
간단하게 설명을 드리자면, 랜섬웨어는 문서와 사진, 음악, 영상 등 PC에 저장된 데이터를 암호화해 사용할 수 없게 만드는 악성코드입니다. 랜섬웨어의 유형에 따라 위의 파일들 뿐 아니라 실행파일(.exe)과 압축파일(.zip)도 사용이 불가능한 상태로 만들기도 합니다. 랜섬웨어 유포자는 이 암호를 풀어주는 조건으로 돈을 요구합니다.
랜섬웨어는 ransom(몸값)과 ware(제품)의 합성어로 PC 사용자의 데이터를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭입니다. 랜섬웨어의 한글화된 버전은 ‘크립토락커(CryptoLocker)’이라는 이름으로 불립니다. 이 바이러스에 감염되면 한글과 엑셀, 파워포인트, 사진 등의 파일의 확장자에 .encrypted 이름이 더 붙게 됩니다. 이 확장자명을 지워서 파일을 열면 내용은 다 깨진 상태로 화면에 출력됩니다. 게다가 백신프로그램으로 랜섬웨어를 없애도 암호화는 굉장히 복잡한 알고리즘으로 이루어지기 때문에 이미 암호화된 파일의 복호화는 기술적으로 사실상 불가능에 가깝습니다.
사상 최악의 악성코드... 예방법은?
랜섬웨어 유포자가 요구하는 돈을 주더라도 파일의 복호화를 보장받을 수 없을 뿐 아니라 오히려 이 점을 이용한 범죄가 계속 이어져 추가 피해자들이 계속 나타나 ‘사상 최악의 악성코드’라고도 불립니다. 더 큰 문제는 이 랜섬웨어가 계속해서 더욱 진화된 형태로 발견·보고되고 있다는 것입니다. 이로 인해 워낙 변종이 많아져 백신프로그램으로도 탐지를 못하는 경우가 많아지고 있습니다.
일반적으로 랜섬웨어는 스팸 메일의 링크와 첨부 파일, 변조된 웹사이트, 악성 광고 배너, 다른 악성코드 감염에 의한 추가 감염, 조작된 Adobe Flash Player 웹 사이트를 통한 설치 파일의 다운로드 및 실행, 파일공유사이트에서의 다운로드 등 다양한 경로를 통해 사용자가 인지하지 못한 상태에서 감염이 이루어진다고 합니다.
특히 윈도우XP의 최신 보안 패치가 되지 않은 Internet Explorer 8, 9, 10, 11 버전 사용자의 PC는 감염될 확률이 매우 높다고 하니 백신프로그램을 비롯한 Internet Explorer 등의 버전을 최신 업데이트를 하시기 바랍니다. 또한 경우에 따라 악성코드 파일이 확장자명(ex].scr 등)을 숨기고 MS word와 같은 문서 아이콘으로 제작되어 사용자가 착각하여 실행하는 경우도 많으므로 이런 불상사를 방지하기 위해서 폴더 옵션에서 ‘알려진 파일 형식의 파일 확장명 숨기기’를 체크 해제하는 것을 권장합니다.
무엇보다 가장 확실한 예방법은 ① 중요한 파일들은 항상 백업해 두는 습관 ② 낯선 사람에게서 받은 메일의 첨부파일은 함부로 실행하지 않기 라고 하겠습니다. 불가피하게 알 수 없는 웹사이트에 접속해야 하거나 파일을 다운로드해야 하는 경우 www.virustotal.com에 접속하여 해당 웹사이트나 파일이 바이러스 및 악성 코드에 의해 감염되어 있는지 확인하고 이용하는 것을 권장합니다.
▲ 이미지 출처 : (주)이노티움
PC가 랜섬웨어에 감염되어 위와 같은 화면이 보인다면 위에서 언급한 올해 국내에서 가장 악명을 떨치고 있는 ‘크립토락커(CryptoLocker)’에 감염된 것입니다. 이 랜섬웨어의 감염된 경우 대부분 C:\Windows 및 C:\ProgramData 경로의 폴더에 아래와 같은 8자리의 랜덤 소문자 알파벳 악성코드 파일이 존재한다고 하니 확인 후 비슷한 파일이 보인다면 악성파일이 더 이상 암호화 작업을 할 수 없도록 안전모드로 부팅 후 그 파일을 제거해야 한다고 합니다.
직접 찾는 것이 어렵다면 트렌드마이크로사(}http://www.trendmicro.co.kr/)에서 제공하는 ‘트렌드마이크로크립토로커 제거툴’을 이용하여 랜섬웨어 악성코드를 찾아내 치료할 수 있습니다. 바이러스를 치료하면 암호화 진행을 막을 수 있습니다. 다만 위의 두 방법들은 더 이상의 암호화를 막을 뿐 악성코드 파일을 치료·제거 한다 하더라도 이미 감염된 파일은 복구되지 않습니다. 뿐만 아니라 최근 가장 많이 유포되고 있는 CryptoWall 변종(파일을 암호화한 뒤 감염된 파일의 확장자를 .ccc로 바꿉니다. 현재 가장 강력한 랜섬웨어로 알려져 있습니다.)
랜섬웨어는 백신 프로그램으로 검색조차 되지 않는다고 합니다. 그렇기 때문에 랜섬웨어에 의해 피해를 입은 일반사용자의 경우 아직 암호화 되지 않은 파일들을 네트워크와 연결되지 않은 USB 등에 백업을 시키고 포맷을 한 후 재설치를 하는 것이 최선의 방법으로 알려져 있습니다.
예방이 최선... 기본 보안수칙을 생활에 적용!
최근 몇몇 보안 업체들이 일부 랜섬웨어를 분석하여 유포자에게 돈을 지불하지 않고 파일을 복구할 수 있는 복구툴을 만들어 배포하거나 유료로 서비스를 제공하고 있지만 100% 해결된다는 보장이 없습니다. 이 피해에 대해 데이터복구업체에 문의를 하여도 대부분의 업체가 확답을 주지 못하며 데이터 복구가 가능한 업체가 있더라도 그 비용으로 100만 원 이상 지출이 될 수 있다고 합니다. 그러므로 무조건 예방이 최선입니다.
예방법은 생각보다 어렵지 않습니다. 그저 앞서 명시한 기본적인 보안수칙을 생활에 적용하는 것입니다. 랜섬웨어 관련 정보가 필요한 분들에게 도움이 되었으면 하며, 더 이상의 피해자가 나타나지 않기를 바랍니다.
최근에는 모바일 랜섬웨어도 확산되고 있으며, 그 방식이 매우 정교하다고 합니다. 그러므로 모바일 랜섬웨어에 감염되는 것을 예방하기 위해 휴대폰 역시 PC와 마찬가지로 꼭 백신 애플리케이션을 이용해야 하고 중요한 정보가 저장된 파일은 네트워크와 연결되지 않은 저장매체에 백업해야겠습니다.