전체 피싱 메일 가운데 93%, “랜섬웨어”
지난 수년동안 보안업계는 지속적으로 랜섬웨어 위협에 대한 경고와 대응책을 제시해왔다. 그나마 최근에는 보안업체들이 각종 랜섬웨어에 대한 복호화 툴을 배포하면서 낮은 확률이지만 암호화된 데이터를 살릴 수 있는 방법이 생겨나기 시작했다. 보안 전문가들은 랜섬웨어의 속성을 이용해 랜섬웨어 공격을 중도 차단하거나 파일을 보호할 수 있는 몇몇 참신한 방법을 제시하기도 했다.
안랩, 랜섬웨어 ‘CryptXXX 2.x’ 버전에 대한 복구 툴 제공
트렌드마이크로, 신종 랜섬웨어 SNSLocker 복구툴 발표
카스퍼스키, 크립트XXX 랜섬웨어 신버전 복구툴 공개
"페티아 랜섬웨어 풀었다" 전문가들, 크랙 알고리즘과 무료 툴 개발
록키 랜섬웨어 변종 피해 예방 위한 ‘사용자 주의사항’...안랩 발표
“1분기 랜섬웨어 특징, 다양화·확대·서비스화” 안랩 발표
카스퍼스키랩, 랜섬웨어 대응하는 윈도우 서버용 카스퍼스키 시큐리티 출시
"허점을 역이용하라"...랜섬웨어 대처하는 참신한 팁
하지만 보안업계에서 제공하는 복구 툴이나 제품, 그리고 참신한 방법이라는 정보들을 사이버범죄자들도 함께 보고 있다는 것이다. 범죄자들은 복구하지 못하는 변종 랜섬웨어를 만들고 다시 공격하는 것은 시간문제다. 그나마 위안이 되는 것은 몸값을 지불하지 않으면 아예 복구할 수 없었던 데이터를 나중에라도 복구할 수 있다는 희망이 생긴 것이다.
본지에서도 거의 매일같이 랜섬웨어 대처 방안과 예방에 대한 PDF 보고서와 기사들을 쏟아내고 있었다. 그럼에도 불구하고 지난달, 필자의 동료가 랜섬웨어에 감염됐다.
일반인도 쉽게 적용할 수 있는 ‘랜섬웨어 예방법 6가지’
사건은 점심을 먹고 난 직후, 업무 도중에 발생했다. 피해를 입은 동료는 이메일에 첨부파일을 넣어 다른 이에게 보냈는데, 이를 받은 이가 전화를 통해 첨부파일이 암호화가 되어 있다는 것을 알렸다.
동료는 곧바로 컴퓨터 상의 파일들을 확인해 봤는데, 암호화가 된 파일도 있고, 암호화가 되지 않은 것도 있었다고 한다. 알파벳 순서대로 암호화가 진행되고 있었던 것이다. 이 동료는 바로 즉시 모든 네트워크를 끊고 이 사실을 회사에 알렸다.
이 소식을 듣자마자 IT 팀은 즉시 회사 내 서버와의 네트워크를 차단했으며, 전직원들로 하여금 랜섬웨어 스캔 프로그램을 설치해 혹시 모를 랜섬웨어와 악성코드 감염 여부를 조사했다.
일부 직원 가운데 협력업체와 공유하는 모 클라우드 스토리지에서 랜섬웨어에 감염된 파일이 발견된 것 이외에는 별다른 것은 보이지 않았다. 다행히 암호화 도중에 발견된 것이라 연결된 네트워크로는 확대되지 않았던 것이다.
그런데 소문으로만, 글로만 보던 랜섬웨어를 막상 접하고 나니, 여간 당황스러운 것이 아니었다. 우선 그렇게 많이 봐왔던 대응 방안, 대처 방안들이 하나도 생각나지 않았다. 그리고 대처 방안을 찾아 실현하려고 보니, 어려운 점이 한두 개가 아니었다.
"랜섬웨어 공격에 당했다면" 피해 대처 방법 6선
우선 랜섬웨어 공격이 발생했을 때 따라야 하는 대응 절차를 마련해놔야 하는데, 이를 준비하지 못했다. 미리 대응 절차를 갖추지 않은 상태에서 사내 네트워크를 차단하고 즉시 전사적으로 검사한 것은 그나마 잘한 행동이었다.
또한 랜섬웨어 감염 경로를 찾지 못했다. 동료는 평소대로 업무만 했을뿐, 피싱 이메일에 있는 첨부파일을 연 것인지 악성 링크를 클릭한 것인지 정확한 감염 경로를 알지 못했다.
사실 감염된 이후에는 어떻게 감염됐는 지는 그리 중요하지 않다. 하지만 한번 성공한 공격 경로를 제대로 파악하지 못하면 다시 같은 방식으로 공격당할 수 있기 때문에 예방 차원에서 반드시 파악할 필요가 있다. 어째든 스캔 프로그램을 통해 동료의 노트북에서 랜섬웨어 파일을 탐지했으며, 이를 제거하는 데에는 성공했다.
더 큰 문제는 피해자의 백업 상태가 최신의 것이 아니라 3개월 전에 백업한 데이터였다. 가장 최근에 작업했던, 지금 당장 필요한 데이터는 백업해놓지 못했던 것이다.
‘누구나 할 수 있는’ PC 백업 3단계 체크리스트
선택지는 2가지 밖에 없었다. '몸값을 지불하고 복호화 키를 받느냐', 아니면 '데이터 손실을 받아들이느냐'다. 동료와 상의한 결과, 최근 3개월간의 데이터가 1.2비트코인 즉, 50만원 이상의 가치가 있는 것으로 판단, 몸값을 지불하기로 했다.
이렇게 몸값을 지불하고 복호화를 했다면 이 기사를 쓰지 않았을 것이다. 문제는 지금부터다. 주변에 비트코인을 구매해 본 사람이 없었던 것이다. 특히 국내에서 처음 비트코인을 구매하기 위해서는 상당히 복잡하고 까다로운 절차를 진행해야 한다.
사이버범죄자들이 경고문에 상당히 자세한 구매 안내를 해놓았지만, 이들이 소개한 비트코인 구매 절차 과정에서는 신용카드를 사진찍어 파일을 보내라는 등의 의심쩍은 것이 많아 더이상 진행할 수 없었다.
그래서 정식으로 거래소를 통해 비트코인 구매 절차를 거쳐 구매하려고 했지만, 이 또한 신분 증명과 구체적인 연락처를 요구하고 가입 절차에만 시간이 많이 소요됐다. 랜섬웨어 경고문을 확인한 후, 100시간부터 카운트다운이 시작되는데, 정식 절차를 거쳐서는 도저히 시간 내에 지불할 수가 없었다.
이것이 사설 복구 업체들이 우후죽순 늘어난 이유이기도 하다. 이들 대부분은 자체적으로 암호화를 복호화하는 것이 아니라 사이버범죄자들에게 몸값을 지불하는 일종의 대행업체에 불과하다. 그래서 이들이 요구하는 복구비용은 평균 200만 원 수준으로 배보다 배꼽이 더 크다.
결국 동료는 암호화된 데이터를 모두 포기하기로 하고, 노트북을 완전 포맷했다. 물론 암호화된 파일들을 그대로 두고 이후에 감염된 랜섬웨어에 대한 복구 툴이 나오기를 기다리는 선택지도 있었지만 이는 포기하기로 했다.
데이터를 포기한 이유에는 비트코인 지불 절차상의 문제도 있었지만 다음과 같은 사항이 우려됐기 때문이다.
- 더 큰 목표물이 된다
악플러에게는 대응하지 말라는 말이 있다. 대응하면 계속 도발적인 말을 하기 때문이다. 랜섬웨어도 비슷하다. 몸값을 지불하면 사이버범죄자들은 더 신이 난다. 범죄자는 다른 범죄자에게 누가 돈을 지불했고 누가 지불하지 않았는지 이야기한다. 피해자가 돈을 지불하는 대상으로 인식되면 당연히 다른 범죄자들도 몰려들게 된다.
특히 감염 경로를 제대로 파악하지 못한 상태에서는 몸값을 지불하고 데이터를 복호화하더라도 또다른 랜섬웨어에 당하지 않는다는 보장이 없었다. 게다가 그 공격자도 다시 올 수도 있다. 한 번 돈을 지불했으니 당연히 또 지불할 것이라고 생각하는 것이다.
- 범죄자를 신뢰할 수 없다
범죄자가 약속을 지킬 것이라는 기대는 위험하다. 돈을 내고 복호화 키를 받는 간단한 거래로 보이지만 랜섬웨어 범죄자가 약속을 지킬지 미리 확인할 방법은 없다. 몸값만 지불하고 파일에 대한 접근권을 돌려받지 못한 피해자가 많다.
역으로 범죄자 세계에서도 신용은 중요하다. 크립토월(CryptoWall) 조직은 피해자에게 기한을 연장시켜주거나 비트코인을 구하는 방법을 알려주고, 피해자가 돈을 지불하면 즉시 파일을 해독해주는 친절한 고객 서비스로 유명하다. 최초 우리가 몸값을 지불하기로 결정한 것은 크립토월은 그나마 약속을 지키기 때문이었다. 하지만 랜섬웨어를 같은 크립토월을 사용한다고 해서 모두 같은 조직이 아니며, 테슬러크립트(TeslaCrypt), 레베톤(Reveton), CTB-로커(CTB-Locker) 등의 다른 조직은 신용도가 그다지 좋지 않다. 직접 돈을 지불해서 확인하는 방법은 최선의 전략이 아니다.
- 다음 몸값은 더 높아진다
데이터 절취범은 보통 과도한 금액을 요구하지 않는다. 평균적으로 300달러에서 1,000달러 사이다. 그러나 공격에 굴복하는 기업들이 증가함에 따라 범죄자 사이에서도 가격을 올려도 된다는 확신이 커지고 있다. 피해자에게 그 파일이 정말 절실히 필요하다면 데이터의 시장 가격은 무의미하다.
할리우드 장로 병원은 전자 의료 기록 시스템에 대한 접근 권한을 돌려받기 위해 1만 7,000달러를 지불했다. 데이터그래비티(DataGravity)의 CISO인 앤드류 헤이가 추산한 바에 따르면 그 과정에서 병원이 입은 잠재적인 손실 금액은 53만 3,911달러에 달한다. 이 손실 금액에 비하면 몸값은 아주 미미한 수준이다. 지금은 1만 7,000달러지만 이 조직이 다시 공격해 5만 달러를 요구할 수도 있다.
- 범죄자를 독려하게 된다
장기적인 관점에서 보자. 몸값을 지불하면 당장 데이터를 복원할 수 있지만 그 돈은 또 다른 범죄를 위한 자금이 된다. 공격자는 더 풍부한 자금을 기반으로 더 진보된 랜섬웨어와 더 정교한 침투 메커니즘을 개발하게 된다. 많은 사이버 범죄 조직은 일반적인 기업과 마찬가지로 여러 수익원과 다양한 제품군을 갖추고 운영된다. 랜섬웨어 공격으로 벌어들인 돈은 다른 공격 활동을 위한 자금으로 사용될 수 있다. 몸값을 지불하는 것은 문제를 키우는 셈이다.
선택의 여지가 없는 기업들, 랜섬웨어 요구에 굴복하고 있다
랜섬웨어 공격에 돈을 지불하지 말아야 할 4가지 이유
그렇다고 일반인이나 기업이 몸값을 지불한다고 이를 수치스럽게 여겨서도 안된다. 자신의 상황에 맞게 가장 적절하다고 판단되는 조치를 취해야 한다. 일단 몸값을 지불했다면, 이후 다시 랜섬웨어에 걸리지 않도록 예방책을 수립해야 한다.
보안 전문가들은 소프트웨어나 운영체제, 웹브라우저 등의 업데이트를 항상 최신으로 하고, 모르는 첨부파일이나 링크를 클릭하지 말고, 신뢰성 있는 웹페이지에만 들어가라고 권유한다. 하지만 문제는 사용자가 이를 철저하게 지켜도 100% 막을 수 있다고 장담할 수 없다는 것이다.
일반인도 쉽게 적용할 수 있는 ‘랜섬웨어 예방법 6가지’
랜섬웨어에 대한 기업의 대응방안에 대해서는 예전 기사에서 자세히 거론한 바 있다.
토픽 브리핑 | 확산일로의 랜섬웨어, 대응방안은 없는가
그래서 백업이 필요하다. 많은 사용자가 자신의 민감한 데이터를 백업하고 있다. 그러나 확장형 하드드라이브에 백업하지 않고 네트워크 공유 형태로 자신의 컴퓨터와 항상 연결해놓는다. 이는 실수하는 것이다. 왜냐하면 컴퓨터를 감염시킨 랜섬웨어 프로그램은 모든 연결형 드라이브와 공유 네트워크를 찾아내어 그것조차 파일이 존재한 바로 그 위치에 암호화시킬 수 있기 때문이다.
‘누구나 할 수 있는’ PC 백업 3단계 체크리스트
가장 좋은 백업 방법은 '3-2-1 규칙'이라 부르는 방법이다. 적어도 3개 이상 복사본과 2개 이상의 다른 형식의 저장장치, 그리고 최소한 오프사이트 또는 오프라인으로 각각의 복사본 1개씩을 저장하는 것이다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.