2013.11.19

크립토로커 지옥에서 탈출하기 위한 최선의 방법은...백업과 복구 뿐

Ellen Messmer | Network World
크립토로커(CryptoLocker) 악성코드는 IT 부서에겐 악몽이다. 크립토로커 악성코드의 공격을 받은 기업은 강력한 암호화로 파일이 잠긴다. 이 악성코드 봇넷의 배후에 있는 공격자는 이 암호화를 풀기 위한 키를 대가로 돈을 요구한다.

암호화를 사용하는 이 랜섬웨어(ransomware)로 인한 지옥에서 탈출하려면 어떻게 해야 할까? 일부 기업들이 이 악랄한 악성코드에 대한 경험을 공유하며, 유일한 탈출구는 백업과 복원이라고 조언했다.

금속 제조 및 엔지니어링 업체인 W.C. 머신 & 툴(W.C. Machine & Tool)의 사무 관리자 크리스 알브레히트는 크립토로커 공격을 받았을 때 "상점 관리자가 파일을 열려고 했더니 암호화 오류만 계속 떴다"며, "스토리지 서버에 있는 파일을 포함해서 네트워크상의 다른 파일을 시도했지만 마찬가지로 모두 접근할 수 없었다. 갑자기 일어난 일이었다"고 말했다.

2주 전, 애리조나 주 챈들러에 소재한 W.C. 머신 & 툴에서 누군가가 크립토로커가 첨부된 이메일을 열었다. 그 결과 크립토로커가 맹렬한 기세로 확산되며 윈도우 기반 컴퓨터들을 감염시키고 가능한 모든 곳에서 파일을 암호화했다.

W.C. 머신 & 툴은 즉시 IT 서비스 제공업체인 마이텍 네트워크 솔루션스(Mytek Network Solutions)에 연락했고, 이 기업의 고객 담당 관리자인 테오 수밀라스는 수만 개의 파일이 암호화되어 접근할 수 없다고 말했다. 이 무렵 암호화를 푸는 키를 대가로 돈을 요구하는 메시지가 수신되었지만 그 요구에 따르자는 사람은 아무도 없었다.

W.C. 머신 & 툴 측은 암호화된 파일 콘텐츠를 모두 '버리고' 백업/복구를 통해 네트워크 파일 체계를 재구축하기로 결정했다. W.C. 머신 & 툴은 클라우드 제공업체인 액시언트(Axient)를 통해 매일 데이터를 백업했기 때문에 복구는 주말 몇 시간 동안 완료됐다.

액시언트의 또 다른 고객인 펜실베이니아 주 워싱턴 소재의 로펌 야블론스키, 코스텔로 & 레키(Yablonski, Costello & Leckie) 역시 지난 몇 주 동안 이와 비슷한 크립토로커 랜섬웨어의 공격을 받았다.

변호사인 J. 스콧 레키에 따르면 이 사건은 로펌에 근무하는 한 변호사가 집 컴퓨터에서 회사 네트워크에 로그인해서 크립토로커가 첨부된 이메일을 열면서 시작됐다.

레키는 "갑자기 그 변호사의 노트북이 작동을 멈췄다"고 말했다. 그 직후 로펌의 다른 윈도우 기반 컴퓨터들도 작동을 멈췄다. 이후 기술 서비스 지원 업체인 시바(Ceeva)를 호출해 "뭔가 잘못됐는데, 뭔지 모르겠다"고 전했다.

시바의 부사장인 릭 토핑은 크립토로커가 시만텍 안티 악성코드와 스팸 필터링을 회피해서 침투한 것이라고 설명했다. 토핑은 크립토로커에 대해 '상당히 동적'이라면서, 경우에 따라서는 안티 악성코드 소프트웨어를 피해가기도 한다고 말했다.

시바 역시 파일을 되찾기 위해서는 백업/복구 프로세스가 필요하다고 판단했고 이 사례의 경우 백업/복구에 한나절이 소요됐다.

레키는 정확히 어떤 크립토로커 감염 이메일이 동료의 컴퓨터에 침투했는지 의문이라면서 크립토로커의 공격에 대처하느라 업무가 중단됐다고 말했다. 레키는 "기업 운영에 있어 데이터를 백업하는 것이 필수적이었다"고 강조하며, "그나마 종이 문서를 여전히 보관하는 것을 다행스럽게 생각했다"고 덧붙였다.

안티 악성코드 업체들은 9월경부터 처음 인지되기 시작한 크립토로커가 주로 피싱 이메일을 통해 미국을 겨냥하고 있으며, 러시아어를 사용하는 사이버 범죄 조직의 소행일 가능성이 높은 것으로 보고 있다.

악성코드바이츠(Malwarebytes)의 선임 보안 연구원인 제롬 세구라는 크립토로커에 대해 "대부분 영어를 사용하는 사람들을 공격 목표로 하며, 주로 미국에서 나타나지만 영국, 오스트레일리아, 캐나다에서도 돌고 있다"고 설명했다.

크립토로커는 AES 256비트 암호화를 사용해서 공격 대상의 데이터를 잠그기 때문에 수작업으로 이 암호화를 깨기란 불가능하다는 것이 악성코드 연구자들의 공통된 의견이다.

만일의 사태에 데이터를 복구하기 위한 최선의 방법은 크립토로커의 직접 감염을 피할 수 있는 백업을 사용하는 것이다. 맥아피의 메시징 데이터 설계자인 아담 워소토스키는 "이런 백업 서비스에서는 백업의 백업도 확보해야 한다"고 말했다.

크립토로커 공격자들은 피해자에게 비트코인을 통해 돈을 지불하면(보통 300달러) 봇넷 기반 C&C(command-and-control) 시스템으로 데이터 암호화를 풀 수 있는 키를 주겠다고 약속한다. 그러나 암호화 키가 전달되지 않는 경우도 있다. 크립토로커의 자동화된 시스템이 피해자 응답 시간에 제한을 걸어둘 수 있기 때문이다.

트렌드 마이크로는 이런 시간 제한이 보통 72시간임을 파악했다. 그러나 물론 이 시간은 변할 수 있다. 트렌드 마이크로의 위협 커뮤니케이션 관리자인 크리스토퍼 버드는 크립토로커가 회피를 위한 가능한 모든 수단을 동원하므로 안티 악성코드 소프트웨어를 통해 탐지/차단되는 경우도 있고 그렇지 않은 경우도 있다고 말했다.

지난 주 안티 악성코드 업체인 비트디펜더(Bitdefender)는 봇넷 C&C 서버의 '싱크홀(sinkholing)'을 통해 크립토로커가 어떻게 활동하는 지를 추적했으며, 10월 27일에서 11월 1일 사이에만 1만 명의 크립토로커 피해자가 발생했다고 밝혔다.

비트디펜더의 커뮤니케이션 전문가인 라즈반 스토이카는 "크립토로커의 목표물이 거의 미국에만 국한된 것으로 보인다"며, "그 이유는 알 수 없지만 '돈이 몰리는 곳이기 때문'일 가능성도 있다"고 말했다. 그러나 빠르게 변화하는 크립토로커의 C&C 인프라는 대부분 미국이 아닌 러시아, 독일, 카자흐스탄, 우크라이나 지역의 서버에 자리잡고 있다.

일부 악성코드 연구자들은 사법 당국이 비트코인 시스템을 통해 추적함으로써 결국 크립토로커를 운영하는 사이버 범죄자들을 찾아낼 것이라고 예상했다.

크립토로커는 현재 대량의 피싱 이메일에 파일을 첨부해 보내는 방법으로 피해자가 첨부 파일을 열도록 유도, 조직에 침투한다. 특정 기업을 대상으로 하는 집중 공격 방편으로 사용되지는 않지만 전형적인 스팸 속임수(예를 들어 FedEx, U.P.S.에서 온 메일인 것처럼 속임)를 통해 반복적으로 공격을 시도한다.

컴퓨터 사용자들을 괴롭힌 랜섬웨어는 크립토로커 이전부터 있었다. FBI 바이러스로 불리는 또 다른 유형의 랜섬웨어는 윈도우 PC와 애플 맥을 모두 공격해서 사용자로부터 시스템 통제권을 빼앗는데, 최근 새로운 교묘한 방법을 사용하고 있음이 드러났다.

악성코드바이츠 연구원 세구라에 따르면 맥 OS X 버전의 랜섬웨어는 현재 최초 300달러 요구에 비해 더 높은 금액을 요구하고 있다. 두 번째 요구는 '당신의 범죄 기록을 갖고 있으며 450달러를 내면 기록을 삭제해 주겠다'고 하는 것이다.

블랙메일에 회신하는 것은 좋지 않은 생각이다. FBI 바이러스는 제거하는 과정이 애플 맥(맥에서는 브라우저 감염 형태에 가까움)보다 윈도우 PC에서 훨씬 더 어렵긴 하지만 어쨌든 제거가 가능하다. editor@itworld.co.kr


2013.11.19

크립토로커 지옥에서 탈출하기 위한 최선의 방법은...백업과 복구 뿐

Ellen Messmer | Network World
크립토로커(CryptoLocker) 악성코드는 IT 부서에겐 악몽이다. 크립토로커 악성코드의 공격을 받은 기업은 강력한 암호화로 파일이 잠긴다. 이 악성코드 봇넷의 배후에 있는 공격자는 이 암호화를 풀기 위한 키를 대가로 돈을 요구한다.

암호화를 사용하는 이 랜섬웨어(ransomware)로 인한 지옥에서 탈출하려면 어떻게 해야 할까? 일부 기업들이 이 악랄한 악성코드에 대한 경험을 공유하며, 유일한 탈출구는 백업과 복원이라고 조언했다.

금속 제조 및 엔지니어링 업체인 W.C. 머신 & 툴(W.C. Machine & Tool)의 사무 관리자 크리스 알브레히트는 크립토로커 공격을 받았을 때 "상점 관리자가 파일을 열려고 했더니 암호화 오류만 계속 떴다"며, "스토리지 서버에 있는 파일을 포함해서 네트워크상의 다른 파일을 시도했지만 마찬가지로 모두 접근할 수 없었다. 갑자기 일어난 일이었다"고 말했다.

2주 전, 애리조나 주 챈들러에 소재한 W.C. 머신 & 툴에서 누군가가 크립토로커가 첨부된 이메일을 열었다. 그 결과 크립토로커가 맹렬한 기세로 확산되며 윈도우 기반 컴퓨터들을 감염시키고 가능한 모든 곳에서 파일을 암호화했다.

W.C. 머신 & 툴은 즉시 IT 서비스 제공업체인 마이텍 네트워크 솔루션스(Mytek Network Solutions)에 연락했고, 이 기업의 고객 담당 관리자인 테오 수밀라스는 수만 개의 파일이 암호화되어 접근할 수 없다고 말했다. 이 무렵 암호화를 푸는 키를 대가로 돈을 요구하는 메시지가 수신되었지만 그 요구에 따르자는 사람은 아무도 없었다.

W.C. 머신 & 툴 측은 암호화된 파일 콘텐츠를 모두 '버리고' 백업/복구를 통해 네트워크 파일 체계를 재구축하기로 결정했다. W.C. 머신 & 툴은 클라우드 제공업체인 액시언트(Axient)를 통해 매일 데이터를 백업했기 때문에 복구는 주말 몇 시간 동안 완료됐다.

액시언트의 또 다른 고객인 펜실베이니아 주 워싱턴 소재의 로펌 야블론스키, 코스텔로 & 레키(Yablonski, Costello & Leckie) 역시 지난 몇 주 동안 이와 비슷한 크립토로커 랜섬웨어의 공격을 받았다.

변호사인 J. 스콧 레키에 따르면 이 사건은 로펌에 근무하는 한 변호사가 집 컴퓨터에서 회사 네트워크에 로그인해서 크립토로커가 첨부된 이메일을 열면서 시작됐다.

레키는 "갑자기 그 변호사의 노트북이 작동을 멈췄다"고 말했다. 그 직후 로펌의 다른 윈도우 기반 컴퓨터들도 작동을 멈췄다. 이후 기술 서비스 지원 업체인 시바(Ceeva)를 호출해 "뭔가 잘못됐는데, 뭔지 모르겠다"고 전했다.

시바의 부사장인 릭 토핑은 크립토로커가 시만텍 안티 악성코드와 스팸 필터링을 회피해서 침투한 것이라고 설명했다. 토핑은 크립토로커에 대해 '상당히 동적'이라면서, 경우에 따라서는 안티 악성코드 소프트웨어를 피해가기도 한다고 말했다.

시바 역시 파일을 되찾기 위해서는 백업/복구 프로세스가 필요하다고 판단했고 이 사례의 경우 백업/복구에 한나절이 소요됐다.

레키는 정확히 어떤 크립토로커 감염 이메일이 동료의 컴퓨터에 침투했는지 의문이라면서 크립토로커의 공격에 대처하느라 업무가 중단됐다고 말했다. 레키는 "기업 운영에 있어 데이터를 백업하는 것이 필수적이었다"고 강조하며, "그나마 종이 문서를 여전히 보관하는 것을 다행스럽게 생각했다"고 덧붙였다.

안티 악성코드 업체들은 9월경부터 처음 인지되기 시작한 크립토로커가 주로 피싱 이메일을 통해 미국을 겨냥하고 있으며, 러시아어를 사용하는 사이버 범죄 조직의 소행일 가능성이 높은 것으로 보고 있다.

악성코드바이츠(Malwarebytes)의 선임 보안 연구원인 제롬 세구라는 크립토로커에 대해 "대부분 영어를 사용하는 사람들을 공격 목표로 하며, 주로 미국에서 나타나지만 영국, 오스트레일리아, 캐나다에서도 돌고 있다"고 설명했다.

크립토로커는 AES 256비트 암호화를 사용해서 공격 대상의 데이터를 잠그기 때문에 수작업으로 이 암호화를 깨기란 불가능하다는 것이 악성코드 연구자들의 공통된 의견이다.

만일의 사태에 데이터를 복구하기 위한 최선의 방법은 크립토로커의 직접 감염을 피할 수 있는 백업을 사용하는 것이다. 맥아피의 메시징 데이터 설계자인 아담 워소토스키는 "이런 백업 서비스에서는 백업의 백업도 확보해야 한다"고 말했다.

크립토로커 공격자들은 피해자에게 비트코인을 통해 돈을 지불하면(보통 300달러) 봇넷 기반 C&C(command-and-control) 시스템으로 데이터 암호화를 풀 수 있는 키를 주겠다고 약속한다. 그러나 암호화 키가 전달되지 않는 경우도 있다. 크립토로커의 자동화된 시스템이 피해자 응답 시간에 제한을 걸어둘 수 있기 때문이다.

트렌드 마이크로는 이런 시간 제한이 보통 72시간임을 파악했다. 그러나 물론 이 시간은 변할 수 있다. 트렌드 마이크로의 위협 커뮤니케이션 관리자인 크리스토퍼 버드는 크립토로커가 회피를 위한 가능한 모든 수단을 동원하므로 안티 악성코드 소프트웨어를 통해 탐지/차단되는 경우도 있고 그렇지 않은 경우도 있다고 말했다.

지난 주 안티 악성코드 업체인 비트디펜더(Bitdefender)는 봇넷 C&C 서버의 '싱크홀(sinkholing)'을 통해 크립토로커가 어떻게 활동하는 지를 추적했으며, 10월 27일에서 11월 1일 사이에만 1만 명의 크립토로커 피해자가 발생했다고 밝혔다.

비트디펜더의 커뮤니케이션 전문가인 라즈반 스토이카는 "크립토로커의 목표물이 거의 미국에만 국한된 것으로 보인다"며, "그 이유는 알 수 없지만 '돈이 몰리는 곳이기 때문'일 가능성도 있다"고 말했다. 그러나 빠르게 변화하는 크립토로커의 C&C 인프라는 대부분 미국이 아닌 러시아, 독일, 카자흐스탄, 우크라이나 지역의 서버에 자리잡고 있다.

일부 악성코드 연구자들은 사법 당국이 비트코인 시스템을 통해 추적함으로써 결국 크립토로커를 운영하는 사이버 범죄자들을 찾아낼 것이라고 예상했다.

크립토로커는 현재 대량의 피싱 이메일에 파일을 첨부해 보내는 방법으로 피해자가 첨부 파일을 열도록 유도, 조직에 침투한다. 특정 기업을 대상으로 하는 집중 공격 방편으로 사용되지는 않지만 전형적인 스팸 속임수(예를 들어 FedEx, U.P.S.에서 온 메일인 것처럼 속임)를 통해 반복적으로 공격을 시도한다.

컴퓨터 사용자들을 괴롭힌 랜섬웨어는 크립토로커 이전부터 있었다. FBI 바이러스로 불리는 또 다른 유형의 랜섬웨어는 윈도우 PC와 애플 맥을 모두 공격해서 사용자로부터 시스템 통제권을 빼앗는데, 최근 새로운 교묘한 방법을 사용하고 있음이 드러났다.

악성코드바이츠 연구원 세구라에 따르면 맥 OS X 버전의 랜섬웨어는 현재 최초 300달러 요구에 비해 더 높은 금액을 요구하고 있다. 두 번째 요구는 '당신의 범죄 기록을 갖고 있으며 450달러를 내면 기록을 삭제해 주겠다'고 하는 것이다.

블랙메일에 회신하는 것은 좋지 않은 생각이다. FBI 바이러스는 제거하는 과정이 애플 맥(맥에서는 브라우저 감염 형태에 가까움)보다 윈도우 PC에서 훨씬 더 어렵긴 하지만 어쨌든 제거가 가능하다. editor@itworld.co.kr


X