토픽 브리핑 | "랜섬웨어에 당해보니", 사용자 사례에서 본 랜섬웨어의 실태와 대응 방안

데이터를 암호화해 이를 풀려면 돈을 지불하라고 협박하는 랜섬웨어가 사이버범죄자들의 주요 공격 수단이 됐다. 올해 3월 말, 피싱 메일의 93%가 암호화 랜섬웨어일 정도다. 사이버 범죄자들은 랜섬웨어가 좀더 쉽게 얻을 수 있고, 쉽게 보낼 수 있고, 빠르고 쉽게 ROI(return on investment)를 거둘 수 있다는 점에서 너도나도 랜섬웨어 공격에 가담하고 있다.

전체 피싱 메일 가운데 93%, “랜섬웨어”

지난 수년동안 보안업계는 지속적으로 랜섬웨어 위협에 대한 경고와 대응책을 제시해왔다. 그나마 최근에는 보안업체들이 각종 랜섬웨어에 대한 복호화 툴을 배포하면서 낮은 확률이지만 암호화된 데이터를 살릴 수 있는 방법이 생겨나기 시작했다. 보안 전문가들은 랜섬웨어의 속성을 이용해 랜섬웨어 공격을 중도 차단하거나 파일을 보호할 수 있는 몇몇 참신한 방법을 제시하기도 했다.

안랩, 랜섬웨어 ‘CryptXXX 2.x’ 버전에 대한 복구 툴 제공
트렌드마이크로, 신종 랜섬웨어 SNSLocker 복구툴 발표
카스퍼스키, 크립트XXX 랜섬웨어 신버전 복구툴 공개
"페티아 랜섬웨어 풀었다" 전문가들, 크랙 알고리즘과 무료 툴 개발
록키 랜섬웨어 변종 피해 예방 위한 ‘사용자 주의사항’...안랩 발표
“1분기 랜섬웨어 특징, 다양화·확대·서비스화” 안랩 발표
카스퍼스키랩, 랜섬웨어 대응하는 윈도우 서버용 카스퍼스키 시큐리티 출시
"허점을 역이용하라"...랜섬웨어 대처하는 참신한 팁

하지만 보안업계에서 제공하는 복구 툴이나 제품, 그리고 참신한 방법이라는 정보들을 사이버범죄자들도 함께 보고 있다는 것이다. 범죄자들은 복구하지 못하는 변종 랜섬웨어를 만들고 다시 공격하는 것은 시간문제다. 그나마 위안이 되는 것은 몸값을 지불하지 않으면 아예 복구할 수 없었던 데이터를 나중에라도 복구할 수 있다는 희망이 생긴 것이다.

본지에서도 거의 매일같이 랜섬웨어 대처 방안과 예방에 대한 PDF 보고서와 기사들을 쏟아내고 있었다. 그럼에도 불구하고 지난달, 필자의 동료가 랜섬웨어에 감염됐다.

일반인도 쉽게 적용할 수 있는 ‘랜섬웨어 예방법 6가지’

사건은 점심을 먹고 난 직후, 업무 도중에 발생했다. 피해를 입은 동료는 이메일에 첨부파일을 넣어 다른 이에게 보냈는데, 이를 받은 이가 전화를 통해 첨부파일이 암호화가 되어 있다는 것을 알렸다.

동료는 곧바로 컴퓨터 상의 파일들을 확인해 봤는데, 암호화가 된 파일도 있고, 암호화가 되지 않은 것도 있었다고 한다. 알파벳 순서대로 암호화가 진행되고 있었던 것이다. 이 동료는 바로 즉시 모든 네트워크를 끊고 이 사실을 회사에 알렸다.

이 소식을 듣자마자 IT 팀은 즉시 회사 내 서버와의 네트워크를 차단했으며, 전직원들로 하여금 랜섬웨어 스캔 프로그램을 설치해 혹시 모를 랜섬웨어와 악성코드 감염 여부를 조사했다.

일부 직원 가운데 협력업체와 공유하는 모 클라우드 스토리지에서 랜섬웨어에 감염된 파일이 발견된 것 이외에는 별다른 것은 보이지 않았다. 다행히 암호화 도중에 발견된 것이라 연결된 네트워크로는 확대되지 않았던 것이다.

그런데 소문으로만, 글로만 보던 랜섬웨어를 막상 접하고 나니, 여간 당황스러운 것이 아니었다. 우선 그렇게 많이 봐왔던 대응 방안, 대처 방안들이 하나도 생각나지 않았다. 그리고 대처 방안을 찾아 실현하려고 보니, 어려운 점이 한두 개가 아니었다.

"랜섬웨어 공격에 당했다면" 피해 대처 방법 6선

우선 랜섬웨어 공격이 발생했을 때 따라야 하는 대응 절차를 마련해놔야 하는데, 이를 준비하지 못했다. 미리 대응 절차를 갖추지 않은 상태에서 사내 네트워크를 차단하고 즉시 전사적으로 검사한 것은 그나마 잘한 행동이었다.

또한 랜섬웨어 감염 경로를 찾지 못했다. 동료는 평소대로 업무만 했을뿐, 피싱 이메일에 있는 첨부파일을 연 것인지 악성 링크를 클릭한 것인지 정확한 감염 경로를 알지 못했다.

사실 감염된 이후에는 어떻게 감염됐는 지는 그리 중요하지 않다. 하지만 한번 성공한 공격 경로를 제대로 파악하지 못하면 다시 같은 방식으로 공격당할 수 있기 때문에 예방 차원에서 반드시 파악할 필요가 있다. 어째든 스캔 프로그램을 통해 동료의 노트북에서 랜섬웨어 파일을 탐지했으며, 이를 제거하는 데에는 성공했다.

더 큰 문제는 피해자의 백업 상태가 최신의 것이 아니라 3개월 전에 백업한 데이터였다. 가장 최근에 작업했던, 지금 당장 필요한 데이터는 백업해놓지 못했던 것이다.

‘누구나 할 수 있는’ PC 백업 3단계 체크리스트

선택지는 2가지 밖에 없었다. '몸값을 지불하고 복호화 키를 받느냐', 아니면 '데이터 손실을 받아들이느냐'다. 동료와 상의한 결과, 최근 3개월간의 데이터가 1.2비트코인 즉, 50만원 이상의 가치가 있는 것으로 판단, 몸값을 지불하기로 했다.

이렇게 몸값을 지불하고 복호화를 했다면 이 기사를 쓰지 않았을 것이다. 문제는 지금부터다. 주변에 비트코인을 구매해 본 사람이 없었던 것이다. 특히 국내에서 처음 비트코인을 구매하기 위해서는 상당히 복잡하고 까다로운 절차를 진행해야 한다.

사이버범죄자들이 경고문에 상당히 자세한 구매 안내를 해놓았지만, 이들이 소개한 비트코인 구매 절차 과정에서는 신용카드를 사진찍어 파일을 보내라는 등의 의심쩍은 것이 많아 더이상 진행할 수 없었다.

그래서 정식으로 거래소를 통해 비트코인 구매 절차를 거쳐 구매하려고 했지만, 이 또한 신분 증명과 구체적인 연락처를 요구하고 가입 절차에만 시간이 많이 소요됐다. 랜섬웨어 경고문을 확인한 후, 100시간부터 카운트다운이 시작되는데, 정식 절차를 거쳐서는 도저히 시간 내에 지불할 수가 없었다.

이것이 사설 복구 업체들이 우후죽순 늘어난 이유이기도 하다. 이들 대부분은 자체적으로 암호화를 복호화하는 것이 아니라 사이버범죄자들에게 몸값을 지불하는 일종의 대행업체에 불과하다. 그래서 이들이 요구하는 복구비용은 평균 200만 원 수준으로 배보다 배꼽이 더 크다.

결국 동료는 암호화된 데이터를 모두 포기하기로 하고, 노트북을 완전 포맷했다. 물론 암호화된 파일들을 그대로 두고 이후에 감염된 랜섬웨어에 대한 복구 툴이 나오기를 기다리는 선택지도 있었지만 이는 포기하기로 했다.

데이터를 포기한 이유에는 비트코인 지불 절차상의 문제도 있었지만 다음과 같은 사항이 우려됐기 때문이다.

- 더 큰 목표물이 된다
악플러에게는 대응하지 말라는 말이 있다. 대응하면 계속 도발적인 말을 하기 때문이다. 랜섬웨어도 비슷하다. 몸값을 지불하면 사이버범죄자들은 더 신이 난다. 범죄자는 다른 범죄자에게 누가 돈을 지불했고 누가 지불하지 않았는지 이야기한다. 피해자가 돈을 지불하는 대상으로 인식되면 당연히 다른 범죄자들도 몰려들게 된다.
특히 감염 경로를 제대로 파악하지 못한 상태에서는 몸값을 지불하고 데이터를 복호화하더라도 또다른 랜섬웨어에 당하지 않는다는 보장이 없었다. 게다가 그 공격자도 다시 올 수도 있다. 한 번 돈을 지불했으니 당연히 또 지불할 것이라고 생각하는 것이다.

- 범죄자를 신뢰할 수 없다
범죄자가 약속을 지킬 것이라는 기대는 위험하다. 돈을 내고 복호화 키를 받는 간단한 거래로 보이지만 랜섬웨어 범죄자가 약속을 지킬지 미리 확인할 방법은 없다. 몸값만 지불하고 파일에 대한 접근권을 돌려받지 못한 피해자가 많다.
역으로 범죄자 세계에서도 신용은 중요하다. 크립토월(CryptoWall) 조직은 피해자에게 기한을 연장시켜주거나 비트코인을 구하는 방법을 알려주고, 피해자가 돈을 지불하면 즉시 파일을 해독해주는 친절한 고객 서비스로 유명하다. 최초 우리가 몸값을 지불하기로 결정한 것은 크립토월은 그나마 약속을 지키기 때문이었다. 하지만 랜섬웨어를 같은 크립토월을 사용한다고 해서 모두 같은 조직이 아니며, 테슬러크립트(TeslaCrypt), 레베톤(Reveton), CTB-로커(CTB-Locker) 등의 다른 조직은 신용도가 그다지 좋지 않다. 직접 돈을 지불해서 확인하는 방법은 최선의 전략이 아니다.

- 다음 몸값은 더 높아진다
데이터 절취범은 보통 과도한 금액을 요구하지 않는다. 평균적으로 300달러에서 1,000달러 사이다. 그러나 공격에 굴복하는 기업들이 증가함에 따라 범죄자 사이에서도 가격을 올려도 된다는 확신이 커지고 있다. 피해자에게 그 파일이 정말 절실히 필요하다면 데이터의 시장 가격은 무의미하다.
할리우드 장로 병원은 전자 의료 기록 시스템에 대한 접근 권한을 돌려받기 위해 1만 7,000달러를 지불했다. 데이터그래비티(DataGravity)의 CISO인 앤드류 헤이가 추산한 바에 따르면 그 과정에서 병원이 입은 잠재적인 손실 금액은 53만 3,911달러에 달한다. 이 손실 금액에 비하면 몸값은 아주 미미한 수준이다. 지금은 1만 7,000달러지만 이 조직이 다시 공격해 5만 달러를 요구할 수도 있다.

- 범죄자를 독려하게 된다
장기적인 관점에서 보자. 몸값을 지불하면 당장 데이터를 복원할 수 있지만 그 돈은 또 다른 범죄를 위한 자금이 된다. 공격자는 더 풍부한 자금을 기반으로 더 진보된 랜섬웨어와 더 정교한 침투 메커니즘을 개발하게 된다. 많은 사이버 범죄 조직은 일반적인 기업과 마찬가지로 여러 수익원과 다양한 제품군을 갖추고 운영된다. 랜섬웨어 공격으로 벌어들인 돈은 다른 공격 활동을 위한 자금으로 사용될 수 있다. 몸값을 지불하는 것은 문제를 키우는 셈이다.

선택의 여지가 없는 기업들, 랜섬웨어 요구에 굴복하고 있다
랜섬웨어 공격에 돈을 지불하지 말아야 할 4가지 이유

그렇다고 일반인이나 기업이 몸값을 지불한다고 이를 수치스럽게 여겨서도 안된다. 자신의 상황에 맞게 가장 적절하다고 판단되는 조치를 취해야 한다. 일단 몸값을 지불했다면, 이후 다시 랜섬웨어에 걸리지 않도록 예방책을 수립해야 한다.

보안 전문가들은 소프트웨어나 운영체제, 웹브라우저 등의 업데이트를 항상 최신으로 하고, 모르는 첨부파일이나 링크를 클릭하지 말고, 신뢰성 있는 웹페이지에만 들어가라고 권유한다. 하지만 문제는 사용자가 이를 철저하게 지켜도 100% 막을 수 있다고 장담할 수 없다는 것이다.

일반인도 쉽게 적용할 수 있는 ‘랜섬웨어 예방법 6가지’

랜섬웨어에 대한 기업의 대응방안에 대해서는 예전 기사에서 자세히 거론한 바 있다.

토픽 브리핑 | 확산일로의 랜섬웨어, 대응방안은 없는가

그래서 백업이 필요하다. 많은 사용자가 자신의 민감한 데이터를 백업하고 있다. 그러나 확장형 하드드라이브에 백업하지 않고 네트워크 공유 형태로 자신의 컴퓨터와 항상 연결해놓는다. 이는 실수하는 것이다. 왜냐하면 컴퓨터를 감염시킨 랜섬웨어 프로그램은 모든 연결형 드라이브와 공유 네트워크를 찾아내어 그것조차 파일이 존재한 바로 그 위치에 암호화시킬 수 있기 때문이다.

‘누구나 할 수 있는’ PC 백업 3단계 체크리스트

가장 좋은 백업 방법은 '3-2-1 규칙'이라 부르는 방법이다. 적어도 3개 이상 복사본과 2개 이상의 다른 형식의 저장장치, 그리고 최소한 오프사이트 또는 오프라인으로 각각의 복사본 1개씩을 저장하는 것이다. editor@itworld.co.kr