랜섬웨어의 위험성과 예방방법

안녕하세요? 오늘은 랜섬웨어 관련하여 소개 드리고자 합니다. 최근에 IT 뉴스란에서 보안업체들과 정부(과학기술정보통신부)가 협력하여 랜섬웨어 대응에 대한 협의체를 구성한다는 뉴스를 읽었습니다. 개인적으로 저는 집에서 사용 중인 PC나 노트북에서 직접 경험해 보지는 않았지만, 예전에 업체 전산실 근무 시절에 회사 PC들이 감염이 된 것을 경험해보기는 했습니다. 랜섬웨어는 점점 더 발전이 되어 심각한 문제를 초래하고 있어서 랜섬웨어에 대한 위험성과 랜섬웨어가 무엇인지, 랜섬웨어를 예방 할 수있는 방법이 무엇이 있는지 소개해볼까 합니다. 

 

 

 

 

 

---

 

랜섬웨어란 무엇인가.

랜섬웨어(Ransomware)란 몸값(Ransom), 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만들어서 이것을 이용하여 금전을 요구하는 악성 프로그램을 말합니다. 2005년부터 시작이 되었고 2017년에 워너크라이가 전세계적으로 감염이 되어서 사람들에게 랜섬웨어라는 것이 많이 알려지게 되었습니다. 지금도 전세계적으로 점점 피해가 늘어나고 있는 추세입니다. 랜섬웨어는 주로 이메일 첨부파일이나 웹사이트 접속을 통해 들어오기도 하고, 검증되지 않은 프로그램이나 파일 등을 다운로드하는 과정에서 유입되기도 합니다. 랜섬웨어를 만드는 해커들은 정체를 알 수 없기 때문에 피해를 당해도 사실상 범인을 검거하는 것이 불가능합니다. 해커들이 랜섬웨어 걸린 파일들에 대한 금전을 비트코인으로 요구하는 경우가 많습니다. 

 

 

랜섬웨어의 종류.

랜섬웨어의 종류가 많이 있기 때문에 몇 가지만 간략하게 표로 소개하도록 하겠습니다. 좀 더 상세한 랜섬웨어 종류는 한국랜섬웨어침해대응센터 사이트에서 각 랜섬웨어 종류별로 확인이 가능합니다.

종류	특징
CryptWall	- 크립토디펜스라고도 불리며 잘 알려져 있는 랜섬웨어 중에서 큰 몸값을 요구하기로 유명함. - 빈번하게 사용되는 랜섬웨어.
CryptXXX	- 카스퍼스키라는 회사에서 복호화 툴이 있지만 변종이 등장하면서 지속적으로 랜섬웨어 피해가 발생.
CryptMIC	- CryptXXX의 카피캣.
Cerber Ransomware	- 인터넷이 강제로 종료되는 현상이 있음. - *.txt, *.mp3, *.mp4 확장자가 *.cerber로 변환. - 강제종료를 할 경우 검은색 화면만 출력되기 때문에 모든 기능이 마비.
CERBER3	- Cerber Ransomware의 변종.  - 감염시 파일 확장자가 *.cerber3으로 변환.
CERBER4,5,6	- Cerber 랜섬웨어의 변종.  - 파일명이 랜덤으로 수정되고 확장자도 변환됨.
CRBR Encryptor	- Cerber 랜섬웨어의 변종 중 하나. - 비트코인 탈취 기능이 있음.
SynolLocker	- NAS에 주로 감염되는 랜섬웨어.
NsbLocker	- Locker 랜섬웨어 중 백신으로 치료가능한 랜섬웨어.
TorLocker	- 일본에서 만들어진 랜섬웨어. 주로 일본에서 많이 감염됨. - 랜섬웨어 제작자가 고의로 한국어로 어설프게 번역하여 감염하게 만들어서 한국을 범인으로 하려는 수작이 보임.
Locky	- Locker 계열 랜섬웨어 중 가장 강력함. - RSA-2048, AES-128 유형의 암호화 기법을 사용. - 주로 스팸메일을 통해 유포됨.
Sage	- 주로 이메일에 첨부된 워드 파일 통해 유포. - 감염시 *.sage 확장자로 변환.
GoldenEye	- MBR영역을 감염시키는 랜섬웨어. - 이메일을 통해 유포. - MBR영역을 감염시키기 때문에 부팅이 안되는 경우도 있음.
HADES	- 이메일을 통해 유포. - 감염시 파일 암호화, 확장자가 *.~HL(5자리랜덤)으로 변환. - 해커가 헬프데스크를 운영하여 복호화에 대한 질문에 대응.
Erebus	- 윈도우 이벤트뷰어를 이용하여 사용자 계정 제어 보안 기능 우회 기법을 사용. - ROT-3 암호화 방식을 사용. - 암호화 과정에서 복구 지점을 삭제하여 운영체제 복원도 불가능하게 만듬.

 

 

랜섬웨어에 감염되었을 때 바로 조치방법.

랜섬웨어에 감염되었을 경우 CPU, 메모리, HDD가 비정상적으로 사용량이 늘어나게 되고 PC에서 쿨러 소음이 엄청 크게 발생 되면서 파일들을 암호화 하는 경우도 있습니다. 물론, 종류에 따라 조용히 암호화가 되는 랜섬웨어들도 있기 때문에 언제 감염이 되었는지 알 수없는 랜섬웨어들도 있습니다. 랜섬웨어 감염된 것 같은 조짐이 보이면 긴급하게 조치를 해야하는 부분이 있습니다. 

 

1. 연결되어 있는 외장하드와 공유되어 있는 공유폴더들을 해제.

2. 인터넷 LAN 분리, PC 전원 차단.

3. PC HDD 분리 후 다른 장치에 Data 백업

4. 랜섬웨어에 대한 증거 보존 후 신고

5. 전문 복구업체에 HDD를 복구의뢰.

6. 감염된 PC는 운영체제를 재설치하거나 백신프로그램으로 치료.

 

 

 

랜섬웨어 예방하는 방법.

# 백업 (Backup)

랜섬웨어를 예방하는 방법 중 가장 효과적인 방법은 바로 데이터 백업입니다. 백업은 말 그대로 데이터를 다른 곳에도 저장을 하기 때문에 랜섬웨어 감염에 있어 보험 같은 기능도 있다고 생각합니다. 백업은 외장하드, 클라우드서비스, NAS, 외장매체(USB, CD, DVD) 등 다양한 방법이 있기 때문에 백업의 선택지 또한 다양해서 분산하여 저장하시는 것도 나쁘지 않은 방법이라 생각됩니다. 최근에는 클라우드서비스를 지원하고 있는 사이트들도 많다보니 사용자가 백업에 대한 중요성을 알고 신경써서 관리하면 랜섬웨어를 예방하는데 아주 좋은 방법이라 생각됩니다.

 

# 알수없는 발신자의 메일 열람금지

확인 되지 않은 발신자의 메일을 열람하거나 스팸메일로 의심이 되는 메일들은 열람하지 않고 바로 삭제를 하는 방법입니다. 랜섬웨어는 이메일을 통해 감염되는 경우가 많기 때문에 무엇인가 의심이 되는 메일을 받게되면 열람하지 않고 바로 삭제하고 스팸신고, 수신차단을 통해 2차 감염에 대한 예방도 가능합니다.

 

# 불법 S/W 또는 인증되지 않은 프로그램 사용하지 않기

인증되지 않거나 불법으로 만들어진 S/W를 설치하게된 경우에도 랜섬웨어에 감염이 될 수도 있습니다. 최근에는 보안 프로그램에서 랜섬웨어에 대한 감지 기능도 있어서, 의심되는 S/W는 보안프로그램에서 확인하거나 보안프로그램 업체 사이트에 접속하면 랜섬웨어나 바이러스, 악성코드 등 보안에 위협되는 정보를 쉽게 확인 할 수 있습니다. 

 

# Windows Update와 보안프로그램 설치 및 Update

Windows Update를 통해 보안 업데이트를 주기적으로 확인하여 설치하는 것도 랜섬웨어를 예방하는데 큰 도움이 됩니다. Windows Update를 크게 중요하게 생각하지 않는 분들이 많으신데, 생각보다 Windows Update는 보안에 있어서 매우 중요합니다. 주기적인 Update가 있는지 확인하여 설치하는 것도 중요합니다. 보안프로그램 개발하는 업체들도 랜섬웨어에 대한 위험성을 제일 잘 알고 있기 때문에 백신을 설치하고 Update도 주기적으로 확인하여 설치 하면 랜섬웨어뿐만 아니라 보안에 관련된 예방을 할 수 있다고 생각합니다. Update에 대해서 귀찮거나 하시는 분들은 자동으로 설치 될 수 있게 설정도 가능하기 때문에 보안 관련 Update는 자동설치 설정으로 해두시는 것도 괜찮은 방법 중 하나라 생각합니다.

---

오늘은 랜섬웨어에 관련하여 소개하였습니다. 랜섬웨어는 걸리지 않는것이 중요하기 때문에 예방이 가장 좋은 방법이라 생각 됩니다. Data 백업과 보안업데이트 설치를 항상 생활화한다면 랜섬웨어 예방에 큰 도움이 될 것이라 확신합니다. 긴 글 읽어주셔서 감사합니다!