베타뉴스

Last Update : 2017.09.23 21:09
space
  | 이츠비매거진 | Apple 공식사이트    
현재위치 : Home > 모바일 > 팁테크> 강좌 > 본문읽기

계속되는 디지털 인질극, 랜섬웨어란?

 

크게보기 작게보기 프린트 신고하기 Translation : English Translation Simplified Chinese Translation Japanese Translation French Translation Russian Translation
2017-06-22 16:02:18
안병도 기자
(catchrod@betanews.net)

2017년 5월 전 세계적으로 떠들썩한 이야기가 있었다. 바로 랜섬웨어인 워너크라이였다. 5월 12일 대규모 공격이 시작되면서 피해가 속출했고, 한국에서도 CGV가 랜섬웨어 공격을 받아, 수십 개의 상영관을 통제하는 광고 망에 랜섬웨어가 침투해 영화 전 광고를 상영하지 못했다. 6월에는 웹호스팅 기업인 인터넷나야나가 랜섬웨어 감염을 당했다. 결국 해커에게 복구 비용으로 13억 원 정도를 지불한 것으로 알려졌다.

계속되는 디지털 인질극, 랜섬웨어란?



이렇듯 랜섬웨어의 피해가 줄어들지 않고 있다. 한국에서도 2015년 인기 커뮤니티 사이트에서 광고 서버를 통한 랜섬웨어 감염이 문제가 된 이래, 랜섬웨어에 대한 사람들의 관심이 커졌고, 국가적인 문제로 대두되고 있다. 하지만 아직 랜섬웨어가 어떤 것인지, 예방을 위해서는 어떻게 해야 하는지 모르는 사용자들이 많다.



악성 소프트웨어와 랜섬웨어

컴퓨터에 유해한 소프트웨어를 통칭해 악성 소프트웨어라고 한다. 가장 대표적인 악성 소프트웨어가 컴퓨터 바이러스다. 컴퓨터 바이러스는 스스로를 복제하여 컴퓨터를 감염시키는 컴퓨터 프로그램이다. 파일을 지우거나 과부하를 일으켜 하드웨어를 고장내기도 한다. 그리고 사용자의 정보를 빼내는 스파이웨어, 컴퓨터 사용 시 자동으로 광고가 표시되게 하는 애드웨어 등이 있다. 그리고 우리가 이야기할 랜섬웨어도 여기에 속한다.

계속되는 디지털 인질극, 랜섬웨어란?



랜섬웨어는 몸값을 뜻하는 랜섬과 제품을 뜻하는 웨어의 합성어이다. 즉 몸값을 요구하는 프로그램이라는 것이다. 초기에는 대포통장을 이용한 특정 계좌로 입금을 요구해 범인을 어느정도 추적할 수 있었다. 하지만 Tor 기반의 결제 홈페이지를 이용해 가상 화폐인 비트코인으로 결재 하면서 추적이 힘들어져 랜섬웨어에 의한 피해가 급증하고 있다.



랜섬웨어는 어떻게 작동하나?

랜섬웨어는 파일 데이터를 암호화 알고리즘을 이용해 암호화한다. 그래서 사용자가 파일을 이용할 수 없도록 만드는 것이다. 암호화에는 단방향과 양방향 방식이 있다. 단방향은 암호화를 하면 다시 풀 수 없고, 양방향은 암호화를 푸는 복호화가 가능하다. 복구가 불가능한 단방향 암호화를 사용한 랜섬웨어도 사용자를 협박하고 돈을 요구하기는 마찬가지다.

계속되는 디지털 인질극, 랜섬웨어란?



랜섬웨어는 다양한 경로로 감염된다. 이메일의 첨부파일이나 URL 링크, 파일공유 사이트에서 내려받은 파일, 페이스북이나 트위터 등의 SNS에 올라온 단축 URL 및 사진, 신뢰할 수 없는 사이트 방문, 네트워크를 통한 침입 등이다.

이렇게 다양한 경로로 침입한 랜섬웨어는 이제 암호화할 대상이 되는 파일을 검색한다. 검색을 통해 대상 파일을 추려내는데 주로 텍스트 파일, 이미지 파일, 워드나 엑셀 등의 오피스 파일이 그 대상이다. 파일을 선별하고 나면 랜섬웨어는 그 파일들을 암호화하는 작업을 시작하게 된다, 단순하게 하나의 키를 이용하는 고정키 암호화를 하기도 하고 파일 사이즈나 이름 등을 고려해 키가 변화해 고정키보다 복호화가 더 어려운 다이나믹키 암호화를 하기도 한다.

파일의 암호화를 만료하면 파일의 확장자를 바꾼다. 파일을 한곳으로 이동하기도 한다. 이것은 모두 랜섬웨어에 감염되었음을 사용자에게 인지시키기 위한 일이다. 그리고서 바탕화면이나 인터넷 창으로 랜섬웨어에 감염되었음을 알리고 돈을 요구하는 것이다.



랜섬웨어의 종류와 특징

컴퓨터 바이러스처럼 랜섬웨어도 다양한 종류가 있다. 그중 워너크라이(워너크립터), 록키, 크립트XXX, 케르베르, 크립토락커, 테슬라크립트가 대표적이다.

계속되는 디지털 인질극, 랜섬웨어란?



가장 유명한 것이 워너크라이다. 신문, 방송에서 대비방법을 다루기도 한 이 랜섬웨어는 2017년 5월 12일 영국, 스페인, 러시아 등을 시작으로 전 세계에서 피해가 보고된 이것은 다양한 문서파일 외 다수의 파일을 암호화한다. 윈도우의 SMB를 이용하여 악성코드를 감염시키고, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔하여 네트워크로 전파해 감염된다면 추가 피해가 발생할 가능성이 크다 워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확장자를 .WNCRY 또는 .WNCRYT로 변경한다.

록키는 이메일을 통해 유포하는데, 자바스크립트 파일이 들어있는 압축파일들을 첨부해 이를 실행할 시에 랜섬웨어를 다운로드 및 감염시킨다. 감염되면 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지 출력한다.

크립트XXX는 지난 2016년 5월, 해외 백신 사의 복호화 툴이 공개되었지만 그 이후에 크립트XXX 3.0 버전이 새로이 유포되고 있다. 운영체제, MS 실버라이트, 웹 브라우저, 어도비 플래시 플레이어 등의 취약점을 이용해 악성코드를 유포하는 익스플로잇 키트를 이용한다. 동적 링크 라이브러리(DLL) 형태로 유포하고, 정상 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드하여 동작한다. 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면을 복구안내 메시지로 변경한다.

케르베르는 말하는 랜섬웨어로 유명하다. 감염되면 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted” 라는 음성 메시지 출력하기 때문이다. 웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 확장자를 .cerber로 변경한다. 최근에는 이메일을 통해 유포되기도 한다. 이 랜섬웨어는 윈도우 볼륨 쉐도우를 삭제해 윈도우 시스템 복구가 불가능하게 만든다.

계속되는 디지털 인질극, 랜섬웨어란?



크립토락커는 자동실행 등록 이름이 크립토락커로 되어있는 것이 특징이다. 웹사이트 방문 시 취약점을 통해 감염되거나, E-Mail 내 첨부파일을 통해 감염되며, 확장자를 encrypted, ccc로 변경한다. 파일을 암호화한 모든 폴더 내에 복호화 안내 파일 DECRYPT_INSTRUCTIONS.*와 HOW_TO_RESTORE_FILES.* 두 종류를 생성한다. 이 랜섬웨어도 윈도우즈 볼륨 쉐도우를 삭제한다.

테슬라크립트는 2015년 국내에 많이 유포된 랜섬웨어로 2016년 5월경 종료로 인해 마스터키가 배포되어 복호화가 가능하다. 취약한 웹페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr 등으로 변경한다. 드라이브 명에 상관없이 고정식 드라이브만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브는 감염 대상이 아니다. 악성코드 감염 시 복호화 안내 문구를 바탕화면에 생성한다.



랜섬웨어에 대처하는 자세, 그리고 예방수칙

랜섬웨어에 감염되었다면? 백업이 있다면 그것을 이용해 복구하면 될 것이다. 아니면 NMR(No More Ransom)이나 보안업체에서 제공하는 복구 프로그램으로 복구를 시도해보거나 복구업체에 문의해보자.

계속되는 디지털 인질극, 랜섬웨어란?



해커의 요구를 들어주고 복호화 키를 받는 방법도 있겠지만, 해커를 완전히 믿을 수도 없다. 돈만 받고 잠적할 수도 있고, 받은 복호화 키로 복구가 완벽하게 되지 않을 수도 있다. 그리고 한 번 요구를 들어주면 두 번이 되고 세 번이 될지도 모른다. 그러니 복구가 힘들다면 포기하는 것도 한 방법이다.

1. 운영체제나 응용소프트웨어 등 모든 프로그램은 반드시 최신 업데이트를 한다.
2. 최신 버전으로 업데이트한 백신 소프트웨어를 설치, 사용한다.
3. 출처가 불명확한 이메일과 URL 링크는 실행하지 않는다.
4. 파일 공유 사이트 등에서 파일을 내려받고 실행할 때는 주의한다.
5. 중요한 자료는 정기적으로 백업한다.

이것이 KISA에서 발표한 랜섬웨어 피해 예방 5대 수칙이다. 적어도 이 다섯 가지만 지킨다면 랜섬웨어로 인한 피해를 훨씬 줄일 수 있다.

랜섬웨어는 운영체제나 프로그램의 취약점이나 악성 사이트, 이메일의 첨부파일을 이용해 사용자에게 침입한다. 그러므로 랜섬웨어를 막기 위해서는 사용자가 적극적으로 예방하는 방법이 최선이다.




기사공유
트위터 페이스북 미투데이 구글



목록보기

글쓰기, 수정, 삭제는 로그인을 하셔야 합니다

모바일 - 팁테크 목록 보기

로그인

자동로그인


인기 PHOTO

  • 카카오뱅크가 국내 금융업계를 변화시킬 수 있을까?

  • 2017 인터넷신문의 날, 문재인 대통령과 각계인사 축하 이어져

  • ICT 기술로 철학의 모던 어프로치 - 빅데이터를 중심으로

  • 애플, 새로운 맥OS와 성능 높인 아이맥 프로 발표







ㆍ(주)베타뉴스 ㆍ제호 : 베타뉴스 ㆍ발행일 : 2002년 2월 5일 ㆍ등록번호 : 서울아00247 ㆍ등록일 : 2006년 9월 8일 ㆍ발행인 겸 편집인 : 이직
ㆍ주소 : 04316 서울시 용산구 원효로 237 화전빌딩 3층 (주)베타뉴스 ㆍ대표이사 : 이직 ㆍ보도자료 : press@betanews.net ㆍ청소년보호책임자 : 박미선
ㆍ사업자번호 : 106-86-07377 ㆍ통신판매업 신고 : 용산 제00314호 ㆍ전화 : 02-3211-3040 ~1 ㆍFAX : 02-714-3042 ㆍ문의메일 : leejik@betanews.net

ㆍ저작권안내 : (주)베타뉴스의 모든 컨텐츠(기사)는 저작권법에 보호를 받습니다. , 회원들이 작성한 게시물의 권리는 해당 저작권자에게 있습니다.
   타인의 저작물을 무단으로 게시, 판매, 대여 또는 상업적 이용시 손해배상의 책임과 처벌을 받을 수 있으며, 이에 대해 책임을 지지 않습니다.