“나도 당하다니!” 랜섬웨어 예방과 대처방법

[캠퍼스 잡앤조이=이도희 기자 / 권경한 대학생 기자] 대학생 K씨는 다음날 제출할 레포트를 밤새 작성했다. 랜섬웨어의 기사를 읽은터라 혹시나 하는 마음이 들었지만 ‘나와는 관련 없겠지’라는 생각에 잠을 청했다. 불과 하루가 지나지 않아서 K씨는 ‘나도 당했다’라는 말을 하게 될지는 꿈에도 몰랐다.

다른 나라의 이야기 같던 랜섬웨어가 전세계적으로 유포되고 있다. 현재 국내에서도 랜섬웨어 피해사례가 급증하고 있다.

랜섬웨어란 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램이다.

랜섬웨어는 2005년부터 본격적으로 알려지기 시작해, 2013년 들어 전 세계적으로 급증하고 있다. 랜섬웨어 공격을 받은 공공기관, 기업, 개인 PC 등이 매년 늘어나는 추세다.

주요 랜섬웨어 ‘워너크라이, 페트야’

워너크라이는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 300달러(한화 34만)에 해당하는 비트코인(가상화폐)을 요구하고 있다.

페트야는 파일을 암호화했던 워너크라이와는달리 MFT(master file table)영역과 MBR (master boot record)영역을 감염시켜 아예 부팅 자체를 안 되게 만든다.

랜섬웨어 감염 모습. 사진출처=한국랜섬웨어침해대응센터

워너크라이와 페트야는 인터넷 네트워크에 접속만 해도 감염된다. 윈도 파일 공유에 사용되는 서버 메시지 블록(SMB) 원격코드의 취약점을 악용해 네트워크를 통해 유포되기 때문에 취약한 컴퓨터는 부팅 때 감염될 수 있다.

매트릭스 랜섬웨어

이 랜섬웨어는 감염 PC의 IP가 아동 음란물 사이트 등에 접속해 미국 연방법을 위반했기 때문에 중요 파일을 암호화했으며 이를 풀기 위해서는 벌금을 내라고 경고한다. 96시간이 지난 뒤에는 복구가 불가능하다는 것이 특징이다.

매트릭스 랜섬웨어는 실제로 감염된 경우 주요 파일들을 암호화한다. 하지만 기존의 다른 랜섬웨어와는 달리 암호화된 파일의 확장자를 변경하지는 않는다. 또한 파일이 암호화된 같은 폴더의 경로에 '!WhatHappenedWithMyFiles!.rtf‘라는 파일명의 랜섬웨어 감염 노트를 만들어 PC 사용자들이 파일을 열람하고 비용을 지불할 수 있도록 유도한다.

보안전문기업 하우리에 따르면, 매트릭스 랜섬웨어는 악성코드 유포 공격도구인 선다운(Sundown)익스플로잇킷을 통해 국내에 유포되고 있고 피해사례도 급증하고 있다.

이메일·문자·광고 등 감염 경로도 다양해

랜섬웨어는 최근 다양한 경로를 통해 전파되고 있다. 특히, 단순히 홈페이지를 방문만 해도 랜섬웨어에 감염된다. 일명 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 이용해서다.

이메일도 안심할 수 없다. 사용자가 이메일을 열어보도록 유도하기 위해 마치 아는 사람인 것처럼, 알아야 하는 정보인 것처럼 제목을 달아 속이면서 사용자의 PC를 감염시킨다.

파일공유 서비스 ‘토렌트(Torrent)’나 웹하드 등 P2P 사이트를 통해 파일을 주고받을 때도 랜섬웨어에 감염될 가능성이 있다.

최근에는 페이스북과 같은 사회관계망 서비스(SNS)를 이용해 사용자 PC를 감염시키는 경우가 있다. 해당 SNS 올라온 단축 URL이나 사진을 이용해 랜섬웨어를 유포하는 식이다.

피해발생시 대처방법

랜섬웨어를 막는 방법은 왕도가 없다. 백신을 항상 최선 버전으로 업데이트하고, 백업을 해두는 것이 최선이다. 그럼에도 랜섬웨어에 pc가 감염됐다면 경찰경찰청 사이버안전국은 다음과 같이 조치를 취하라고 권고한다.

1. 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단.

2. 인터넷선과 PC 전원 차단.

3. 증거 보존 상태에서 신속하게 경찰에 신고.

4. 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료 요청.

5. 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용.

6. 평소 해킹 상담, 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr, 전화 118)에서 서비스 제공

tuxi0123@hankyung.com