랜섬웨어란? 랜섬웨어에 걸리는 이유와 예방법은?!

우리는 발달된 IT기술 덕분에 편리한 생활을 누리고 있다. 스마트폰으로 공부하고 게임을 즐긴다. 인터넷으로 먼 곳에 있는 데이터를 사용해 업무를 처리할 수 있다. 필요하면 원격제어를 이용해 다른 PC의 기능을 완벽하게 사용한다.

그렇지만 편리한 기능 뒤에는 항상 새로운 위협이 숨어있다. 사람을 편리하게 하는 칼이 때로는 사람을 다치게 하는 흉기가 되는 것과 같은 이치다. IT 기기의 편리한 기능을 악용해 반대로 사이버 테러를 저지르는 해킹 사례가 늘어나고 있다.

미래부 조사결과에 따르면 2016년 국내 기업 가운데 3.1%가 데이터 침해 사고를 경험했다. 특히 최근 부쩍 늘어나는 사이버 위협은 ‘랜섬웨어’다. 사용자의 데이터를 인질로 잡고 돈을 요구하는 랜섬웨어는 특성상 피해액이 크고 치료도 쉽지 않다. 앞으로 새로운 위협으로 다가온 랜섬웨어의 원리와 예방법을 알아보자.

내 컴퓨터를 인질로 잡는 랜섬웨어?

| 랜섬웨어(Ransomware)란?

랜섬웨어란 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어 제품을 뜻하는 웨어(Ware)가 합쳐진 단어.

악성코드로써 사용자의 동의 없이 컴퓨터에 설치되어 내부 파일을 인질로 잡아 금전적인 요구한다. 일반적으로 윈도우 운영체제가 설치된 PC에서 가장 많이 발생하지만 모바일 환경에서도 발생하며, 맥 OS도 감염될 수 있다.

랜섬웨어에는 다양한 형태가 있지만 ‘크립토락커’가 등장하면서 데이터 암호화 형식이 주를 이루게 되었다. 이런 데이터 암호화 랜섬웨어는 몰래 사용자의 중요 데이터를 암호화해서 사용할 수 없게 만든다. 암호화 작업이 끝나면 사용자에게 ‘데이터가 암호화되었으며, 일정 시간 내에 풀지 않으면 전부 삭제된다’는 메시지를 보내 돈을 요구한다.

피해사례도 상당히 많다. 국내에서는 2015년 클리앙의 광고 서버가 해킹되어 크립토락터가 퍼졌다. 단순히 클리앙 사이트에 접속해서 게시판을 보는 것만으로도 감염되었기에 피해가 컸다. 이후 디시인사이드와 seeko도 마찬가지 방법으로 랜섬웨어를 확산했다. 이때 회사 PC로 해당 사이트를 접속한 사용자는 중요한 회사정보가 담긴 파일이 암호화되는 바람에 어쩔 수 없이 해커에게 큰돈을 지불하고 코드를 얻으려 하는 경우도 있었다.

단순한 PC 데이터만이 아니다. 오스트리아의 고급 호텔에서는 호텔 객실 키 시스템이 해킹당해 손님 수백 명이 객실 안팎에서 꼼짝 못 하게 되기도 했다. 객실 카드가 포함된 최신 IT 시스템을 갖춘 이 호텔은 3번이나 공격을 받아 객실 키 시스템 전체가 다운되었다. 결국 호텔 측은 해커에게 거액을 보내 시스템을 복구했다. 그렇지만 해커는 이후에도 백도어를 심어 추가로 돈을 요구하기도 했다.

느려진 속도, 발열... 랜섬웨어 증상은?

랜섬웨어는 사용자가 보안이 취약한 사이트에 접속하거나, 가짜 정보가 담긴 이메일의 링크를 열거나, 코드를 숨긴 구글 애드센스 같은 광고창을 볼 때 감염된다. 주로 플래시 코드의 취약점을 이용해서 설치되므로 눈치채기 어렵다.

보통 사용자 운영체제에서 실행영역의 파일은 그대로 둔 채로 문서, 스프레드시트, 그림 파일 등을 암호화해 열지 못 하게 만든다. 구체적으로는 업무에 많이 쓰는 ‘xls, doc, pdf, jpg, avi, rar, zip, mp4, png, psd, hwp’ 등을 노린다. 몰래 빠르게 암호화해야 하므로 용량이 너무 큰 파일은 나중에 암호화하거나 단순히 확장자만 바꿀 수도 있다.

랜섬웨어에 감염되면 해당 기기의 모든 성능을 전부 끌어내서 암호화를 시작한다. 따라서 거의 모든 메모리를 할당받아 파일을 암호화한다. 작업을 거의 하고 있지 않은데도 심한 발열과 함께 시스템이 느려지고, 하드디스크 같은 저장 매체를 쉴 새 없이 돌린다면 랜섬웨어를 의심해 봐야 한다. 때로는 지능적으로 일정한 간격을 주면서 암호화 작업을 해서 컴퓨터 이상을 숨기는 종류도 있다.

암호화가 모두 완료되면 사용자에게 ‘랜섬웨어에 걸렸다’는 알림창 등을 표시하고 복구를 위한 사이트를 표시해준다. 그다음부터는 해당 기기로는 대부분의 작업을 할 수 없으며 연결된 외장하드까지도 함께 암호화시킨다.

랜섬웨어, 예방법은 없을까?

랜섬웨어는 파일을 특정 개인만 사용할 수 있도록 암호화시키는 정상적인 기능을 악용해서 만들어졌다. 따라서 암호화가 완료된 후 피해자가 할 수 있는 효과적 대처방법은 별로 없다. 운이 좋으면 해당 해커에게 돈을 주고 해독코드를 받을 수도 있지만, 돈만 받고 코드를 주지 않는 경우도 많다.

현재 가능한 해결책은 경찰이 랜섬웨어를 만든 개발자를 검거해 복구키를 공개하거나, 랜섬웨어 자체에 결함이 있는 경우 데이터를 복구하는 것이다. 이외에는 대부분 걸리면 해결 방법이 없다. 따라서 평소의 보안 조치가 매우 중요하다.

중요한 것은 예방이다. 사용자의 PC에 백신 등의 보안 소프트웨어를 사용하자. 알약 같은 무료 백신에도 랜섬웨어를 차단하기 위한 감시 기능이 탑재되어 있다. 또한 무료 랜섬웨어 전문 백신도 이용할 수 있다. 이런 백신을 항상 최신으로 업데이트하고 의심스러운 사이트에 접속하지 않으면 어느 정도 예방이 가능하다.

중요한 파일에 대한 대비책으로 우선 아주 간단한 방법이 있다. 첫 번째로 PC 등에 쓰는 중요한 데이터의 확장명을 바꾸는 것이다. 예를 들어 hwp 같은 파일을 hwb처럼 확장자 한자리만 바꿔도 랜섬웨어가 중요하지 않은 파일이라 인식하고 넘어간다. 파일은 사용할 때만 확장자를 바꿔서 쓸 수 있다.

두 번째로 평소 크롬이나 파이어폭스 브라우저를 쓰는 것이다. 많은 랜섬웨어는 어도비의 플래시에서 생기는 취약점을 통해 감염을 유도한다. 특히 여기엔 마이크로소프트사의 ‘인터넷 익스플로러’ 브라우저가 취약하다. 따라서 평소에 플래시를 지원하지 않는 크롬이나 파이어폭스를 사용하면 감염이 어렵다.

세 번째로 중요한 데이터를 주기적으로 백업하자. 위의 예방법은 랜섬웨어가 진화하면 언젠가 효과가 없어질 수 있다. 그렇지만 백업은 근본적인 예방이 될 수 있다. 요즘 가장 많이 쓰는 NAS를 이용하면 좋다. NAS는 장치와 분리된 개별 장치로서 일반적인 PC와 운영체제와 권한설정이 다르다. 따라서 주기적으로 백업하는 설정만 해놓으면 감염된 파일이 생기기 이전 상태로 언제든 돌아갈 수 있다. 만일 NAS를 구입해 쓰기에 가격이 부담스럽다면 한 번만 기록할 수 있는 DVD 등에 중요 데이터를 백업해 놓는 것도 좋다.

최근 많은 곳에서 제공하는 클라우드 서비스도 좋은 백업 수단이다. 구글드라이브, 드롭박스 등을 이용하는 것이다. 클라우드에 중요한 데이터만 따로 폴더를 만들어 저장할 수도 있다. 만일 자동 동기화에 의해 감염 파일이 백업되더라도 일정 시간 동안 파일 히스토리를 남기기 때문에, 시간이 오래 지나지 않았다면 해당 시간대 상태로 복구할 수 있다.

편리함에는 그만큼의 대가가 따른다. 랜섬웨어 역시 우리가 PC 등을 편리하게 쓰기 위해 만든 운영체제 기능을 악용해서 만든 것이다. 따라서 해당 기능 자체를 완전히 추방할 수는 없다. 다행히 사용자가 미리 알고 약간 대비하는 것만으로 예방할 수 있으니 소중한 데이터를 지키기 위해 미리 적절한 조치를 해놓도록 하자.