기사원문은 인터넷 과학신문 사이언스 타임스에서 확인할 수 있습니다. ▶ http://bit.ly/2wq1s8c
랜섬웨어 위협이 계속 증가하고 있다. 보안 전문 업체 카스퍼스키(Kaspersky)에 따르면 2017년에 발견된 랜섬 웨어의 변종의 수는 96,000개이다. 전년도에 54,000개 변 존스가 발견된 것과 비교하면 약 1.8배나 늘어난 셈이다.한국인터넷진흥원은 연도별로 국내 랜섬웨어 피해 규모를 추산했다. 피해 규모는 해마다 늘고 있지만 2015년에 1,090억원의 랜섬 웨어 피해가 있었다면 2017년에는 7,000억원의 피해가 있었다. 다만 2년 사이에 7배나 늘어난 것이다. 2018년에는 2배 이상 늘어난 1조 5천억원 규모의 피해가 있다고 전망했다.랜섬웨어의 위협은 더 이상 남의 얘기가 아니다. 누구나 랜섬웨어의 피해를 입는다. 필자의 경우도 주변에서 런 섬 웨어의 피해를 받은 사람들을 몇번이나 봤고 런 섬 웨어의 피해로 인한 보안 분석의 요청도 올해 2번을 받았다.랜섬웨어의 위협이 우리와 밀접하게 관련돼 있는 만큼 그에 대한 대비가 필요하다. 따라서 이번 글에서는 랜섬웨어의 예방과 대응법에 대해 기술한다.
지피지기백전불패라는 말이 있다. 랜섬웨어의 예방과 대응을 위해서는 본인의 기기 상태뿐 아니라 랜섬웨어의 공격 방식을 알아야 한다. 우선 랜섬웨어의 공격 방식과 침투 경로부터 알아보자.랜섬웨어 정의를 명확히 해 보자. 랜섬웨어는 시스템 혹은 파일 접근 및 실행 권한을 담보로 하여 금액을 요구하는 사이버 공격의 일종이다. 전문적으로 말하면, 유저의 가용성을 위협하는 부정 공격이다.랜섬웨어에 감염됐다고 피해증상은 당장 나타나지 않는다. 랜섬웨어 공격은 여러 단계를 거쳐 나타난다.랜섬웨어가 기기를 감염시키는 데 성공할 경우 가장 먼저 해커에게 이런 사실을 알린다. 이를 ‘지휘 및 통제(C2:Command&Control)’라고 부른다.랜섬웨어는 이후 본격적으로 공격행위를 시작한다. 복구가 불가능하기 때문에 복구 파일 및 복구 시스템을 공격한다. 그 후, 랜섬웨어는 공격 대상을 선별하지만, 파일을 공격하는 랜섬웨어의 경우 공격할 파일 확장 자명을 선별한다.선별이 끝났으면 공격 대상을 암호화시켜 사용자가 사용할 수 없게 만들어 버린다. 이와 함께 랜섬웨어는 이 같은 사실을 다시 한 번 해커에게 알려 랜섬웨어에 감염됐음을 알리기 위한 창을 만들어 표시한다.
가장 기본적으로 메일에 랜섬웨어 파일을 첨부해 사용자에게 다운로드 받아 감염시킬 수 있다. 참고로 구글, 네이버 등이 제공하는 e메일의 경우 악성코드 탐지 기능이 있다. 이 때문에 해커는 이를 우회하기 위해 파일을 압축해 비밀번호를 거는 경우도 있다.덧붙여 랜섬웨어의 악성 파일의 확장자는 .exe로 끝나는 것이 대부분이다. 모르는 사람에게.exe파일을 다운받도록 유도하면 의심받아 받지 않을 것이다.이 때문에 해커들은 이를 감추기 위해 워드, 한글, 엑셀 등의 아이콘으로 변환해 .exe를 문서 파일로 둔갑시키는 경우가 많다. 파일명은 사용자의 다운로드를 유도하기 위해 관심있는 주제로 결정하는 경우가 대부분이다.인터넷 사이트 접속에서도 랜섬웨어에 걸릴 가능성이 있다. 해커는 사이트의 허점을 노려 랜섬웨어를 사이트에 편입할 수 있다. 따라서 감염사이트 방문자는 방문만으로 랜섬웨어에 감염될 가능성이 있다. 요즘 유행한 랜섬 웨어’헤르메스 2.1’도 방식으로 유포됐다.
소프트웨어, 음악, 영화 등의 콘텐츠 다운로드에서도 랜섬웨어에 감염될 수 있다. 해커는 기존의 정상 파일을 악성 파일로 위변조할 수 있지만 이를 내려받은 사용자는 랜섬웨어에 감염된다.네트워크의 취약점을 악용해 랜섬웨어를 유포할 수 있다. 지난해 악명을 떨쳤던 워너 크라이(Wanna Cry)가 대표적이다. 해커는 윈도가 제공하는 파일 공유의 허점을 노려 워너크라이를 유포시켰다. 이로써 150개국 30만 여대 기기가 피해를 받았다.또 모바일용 랜섬웨어도 있다. 이런 경우는 몰래 앱을 통해 유포된다. 이것을 다운로드한 사용자는 랜섬웨어에 감염되는 것이다.예를 들어 어도비 플래시 등 정상적인 소프트웨어 앱인 것처럼 보이는데 이를 내려받은 사용자는 랜섬웨어에 걸리는 것이다.이처럼 랜섬웨어의 침투 경로는 매우 다양하다. 걸리지 않은 것이 신기할 정도다. 그러면 전파력이 강한 랜섬웨어에 피해를 입지 않기 위해서는 어떻게 해야 할까? 예방과 조치법을 알아보자.
전파력이 강한 랜섬웨어에 걸리지 않기 위해서는 어떤 예방책이 필요한가? 랜섬 웨어 예방법으로는 크게 6가지가 있다.첫째, 의심스러운 메일은 열지 않는 것이 좋다. 그러나 일반 입장에서는 이를 구분하기가 쉽지 않다. 한 가지 팁을 제안하면 메일 미리보기를 활용하는 것이다.미리보기는 말 그대로 메일을 열지 않고 메일 내용을 간략하게 파악할 수 있도록 하는 기능이다. 메일 서비스에서 제공하는 이 기능을 활용하면 악성메일 감염을 조금이라도 피할 수 있다.둘째, 파일 확장자명을 나타내도록 하자. 폴더옵션 표시에서 설정할 수 있지만 파일 확장자명을 보여주면 문서로 위장한 악성파일을 내려받기 전에 알 수 있다.또한 .lnk 확장자를 가진 파일이 메일로 왔을 경우 받지 않도록 한다. 바로가기 파일의 경우. lnk 확장자명을 갖지만. lnk로 보낼 이유가 없다. 그 때문에, 해당 확장자에 왔을 경우는, 부정 파일일 확률이 높다.
셋째, 사이트 방문을 주의하자. 이것도 일반인을 분간할 수 없다. 따라서 크롬(Chrome) 브라우저를 권장한다. 크롬은 자동으로 악성 사이트 접속을 차단하기 때문이다.비록 악성 사이트 탐지 정확도는 매우 높은 수준은 아니지만 기능이 없는 것보다는 낫다. 아울러 샌드 배싱 기능도 제공하지만, 해당 기능은 부정 코드를 자동으로 설치하지 않는 기능이다. 이 또한 사이트 방문에 따른 랜섬웨어 감염 확률을 줄일 수 있다.넷째, 소프트웨어를 정기적으로 업데이트해야 한다. 소프트웨어의 취약점을 노려 유포되는 랜섬웨어로부터 방어하기 위해서다. 하지만 일반 사용자들이 일일이 소프트웨어 업데이트를 관리할 수는 없다. 이를 위해 국내에서 제공하는 안심클릭 서비스를 제공하는 백신을 사용할 것을 권장한다. 이 서비스는 한국인터넷진흥원이 국내 백신업체와 협약해 제공하는 기능으로 보안이 취약한 소프트웨어를 관리하고 있다.다섯째,백신설치는필수이다. 물론 업데이트도 정기적으로 해야 한다. 마지막으로 중요 파일은 다른 곳으로 업데이트 하기로 하자. 요즘 클라우드 서비스를 무료로 제공하는 곳이 많다. 여기에 중요 파일은 업데이트 하자.
이러한 예방을 했는데도 불구하고 랜섬웨어에 감염되었다면 어떻게 해야 하는가?우선 랜섬웨어 감염 증상이 즉시 나타날 경우 컴퓨터나 인터넷을 즉각 차단해야 한다. 게다가 외장하드가 연결돼 있다면 바로 떼어내야 한다. 그리고 해당 감염의 내용을 즉시 신고해야 한다.감염 대상이 파일의 경우는 삭제하지 않는 것을 추천한다. 랜섬웨어 피해에서 복구할 수 있는 소프트웨어가 나올 수도 있기 때문이다.덧붙여 경찰청에서는 “노모어 랜섬”이라고 하는 사이트를 제공하고 있지만, 해당 사이트에서는 복구할 수 있는 소프트웨어를 제공하고 있다. 사이트에 접속해 해당 랜섬웨어의 복구 소프트웨어가 있는지 찾아보는 것을 권한다.지금까지 랜섬웨어를 예방하기 위해 제안하는 방법은 전혀 어렵지 않다. 좀 부지런하면 할 수 있는 방법이다. 소 잃고 외양간 고치지 말자.유성민 IT칼럼니스트의 저작권자 2018.05.10ⓒ ScienceTimes