업데이트 : 랜섬웨어 피해를 예방하고 극복하기 위한 ‘전투 계획’

PCWorld

랜섬웨어는 보통 악성코드처럼 PC에 슬금슬금 침입하지 않는다. 불쑥 들어와, 데이터에 총을 겨누고 현금을 요구한다. 그리고 스스로를 방어하는 방법을 배우지 않으면 페트야(Petya)처럼 계속해서 반복된다.

우크라이나와 일부 유럽 국가의 기업을 공격한 페트야는 다른 랜섬웨어와 마찬가지로 몸값을 낼 때까지 파일을 암호화한다. 페트랩(Petrwrap), 엑스표트르(exPetr), 소타페트야(SortaPetya) 등으로도 알려져 있는 페트야는 현재 연구원들이 빠르게 확산을 방지한 상태다. 페트야 랜섬웨어를 완전히 삭제하는 방법은 없으나, 연구원들은 PC를 면역 처리하는 방법을 공개했고, 보안 업체들은 이미 이를 차단하기 위한 조치를 취하고 있는 중이다. 

페트야는 워너크라이(WannaCry)에 이은 두 달 사이 발생한 두 번째 대규모 랜섬웨어 공격이다. 워너크라이는 NSA(National Security Agency)가 개발한 소프트웨어를 악성코드화시킨 것으로 알려져 있다. 영국 NHS(National Health Service)를 비롯해 전 세계의 여러 은행과 기업이 피해를 입었다.

랜섬웨어는 정보 슈퍼고속도로를 질주하는 디지털 무장 강도이다. 액션 영화 속 이야기처럼 들릴지 모르겠지만, 통계는 사실임을 알려준다. 랜섬웨어 공격은 2015년 380만 건에서 2016년 6억 3,800만 건으로 증가했다. 소닉월(Sonicwall)에 따르면, 악성코드 공격은 감소했지만 랜섬웨어는 연간 167배가 증가했다. 그냥 현금을 요구할 수 있는데 데이터를 훔칠 이유가 없다.

샌프란시스코에서 열린 RSA 보안 컨퍼런스에서는 사상 처음 공격 표적, 요구받는 금액, 랜섬웨어를 차단하고 제거하는 방법, 데이터를 인질로 잡은 악당들과 협상하는 방법 등을 자세히 소개한 하루 일정의 종합적인 랜섬웨어 세미나가 개최됐다. 우리는 랜섬웨어에 대응하는 전략을 수립할 때 사용할 수 있는 수많은 정보를 얻었다.

맬웨어바이츠(Malwarebytes) 같은 안티 랜섬웨어 솔루션은 좋은 선택지이지만, 완벽하진 않다.

페트야에 대비하기
블리핑컴퓨터(BleepingComputer)에 따르면, 페트야 랜섬웨어는 ‘perfc’로 알려진 파일을 발견한 경우, 실제로 PC의 파일을 암호화하진 않는다. 다행히 직접 이 파일을 생성하면, 페트야가 실행되지 않는다. 

블리핑컴퓨터는 perfc 파일을 간단히 생성하는 법을 공개했다. notepad.exe 파일을 찾아서 복사한 다음, 이것을 perfc로 이름을 변경하고, 읽기 전용으로 설정하면된다. 또한, 같은 역할을 하는 배치 파일 링크도 공개했다. 수동으로 perfc 파일을 생성하는 것은 단 1분 정보밖에 걸리지 않지만, 배치 파일은 .dat나 .dll 파일도 함께 생성해 페트야의 PC 감염을 한 번 더 대비할 수 있도록 한다.


아픈 곳을 공격하는 랜섬웨어 - 준비하라!
3년 전, 필자 아내의 컴퓨터가 랜섬웨어 공격을 받아 아기 사진, 세금 관련 자료, 기타 개인 데이터가 위험에 노출됐다. 맥이 풀렸다. 우리의 디지털 일생을 잃지 않기 위해 수백 달러를 지불해야 할까? 다행히 그럴 필요는 없었다. 전문가들이 추천한 모든 단계적 방법을 실천했기 때문이다.

첫째, 적을 이해해야 한다. 인텔 시큐리티(Intel Security) EMEA 사업 부문의 라즈 사마니 최고 기술 책임자에 따르면, 현재 랜섬웨어는 400여 종이다. 이중에는 맥OS와 리눅스를 표적으로 삼는 랜섬웨어도 있다. 다토(Datto)의 조사에 따르면, 시한장치 암호화로 개인 문서를 인질로 잡는 크립토로커(CryptoLocker)가 가장 많다. 그러나 공격 방법이 다양하다. 예를 들어, 센티넬원(SentinelOne)의 보안 전략 책임자인 제레미아 그로스먼에 따르면, 웹캠으로 창피한 순간을 녹화한 후, 온라인에 올리겠다고 위협하는 랜섬웨어 공격이 있었다.

전문가들은 몇 가지 상식적인 조치로 악성코드와 랜섬웨어 노출 위험을 경감할 수 있다고 강조한다.

• 상시 윈도우 업데이트로 PC를 최신 상태로 유지한다.

• 방화벽과 안티 악성코드 솔루션을 가동한다. 윈도우 방화벽(Windows Firewall)과 윈도우 디펜더(WIndows Defender)도 그럭저럭 적절하고, 서드파티 안티 악성코드 솔루션은 훨씬 더 우수하다. 지난 주말 전세계적으로 퍼져 많은 피해를 양산한 워너크라이(WannaCry) 패치도 이미 배포되었으며, 윈도우 8과 윈도우 XP용 패치도 발표됐다.

• 그러나 이런 프로그램을 전적으로 믿어서는 안 된다. RSA 세션에서 발제자로 나선 전문가들은 안티바이러스 회사들은 랜섬웨어를 겨우 막는 정도이며, 랜섬웨어 방어를 보장하지 않는다고 지적했다.

• 어도비 플래시(Adobe Flash)를 끈다. 구글 크롬 등 브라우저의 경우 기본 값으로 플래시를 끄고 서핑을 해야 한다.

• 오피스 매크로를 끈다. 오피스 2016의 경우, 옵션 > 보안 센터 > 보안 센터 설정 > 매크로 설정 또는 상단 검색 상자에 '매크로'를 입력한 후 '보안' 상자를 열어 매크로를 제외시킬 수 있다.

• 웹페이지나 이메일에서 의심스러운 링크는 열지 않는다. 악성 링크를 클릭하면서 랜섬웨어에 감염되는 사례가 가장 많다. 다토가 조사한 감염 사례 가운데 2/3는 1대 이상의 장치가 감염된 사례이다. 감염된 사용자가 링크를 포워딩하는 등 더 많은 위험을 노출시킨다는 의미이다.

• 인터넷의 '음지'도 멀리해야 한다. 적법한 사이트의 경우에도 사용자가 주의를 기울이지 않으면 악성 광고 때문에 악성코드에 감염될 수 있다. 그렇지만 방문해서는 안 될 장소를 방문할 때 위험이 증가한다.

전용 안티 악성코드 도구의 경우, 랜섬웨어를 억지할 수 있다고 광고하는 맬웨어바이트(Malwarebytes) 3.0을 고려하기 바란다. 랜섬프리(RansomFree)에도 랜섬웨어 방지 기술이 도입되어 있다. 통상 안티 악성코드 프로그램의 랜섬웨어 방지 기능은 유료다. 비트디펜더( Bitdefender)의 안티-랜섬웨어(Anti-Ransomware) 도구는 무료이다. 그러나 가장 흔한 랜섬웨어 변종 4개만 방어한다.

완벽하지는 않지만 꽤 좋은 방어책 : 백업
랜섬웨어는 가장 소중한 파일을 암호화하고, 잠근다. 이런 파일들을 취약한 상태로 유지해서는 안 된다. 백업은 꽤 좋은 전략이다.

온라인과 오프라인에 데이터 백업을 해두면 안심할 수 있다.

박스, 원드라이브, 구글 드라이브 등 무료 스토리지에 데이터를 자주 백업한다. (그러나 행동이 늦어 감염된 파일을 클라우드 서비스에 백업할 수도 있다는 점을 경계하라!) 외장 하드 드라이브 구입도 방법이다. 시게이트 1TB 외장 하드 드라이브 가격은 55달러에 불과하다. 자주 쓰지 않는 파일을 저장하는 '콜드 스토리지'로 외장 하드를 활용한다. 자주 조금씩 백업을 하고, 드라이브를 분리해 데이터 사본을 고립시킨다.

감염된 경우, 파일 탐색기로 '인질'이 된 파일들을 알 수 있다. '.DOC'나 '.DOCS' 등 통상의 확장자 뒤에 이상한 확장자가 추가된 파일들이다. 아바스트(Avast)의 온드레즈 블체크(Ondrej Vleck) 최고 기술 책임자(CTO)는 언뜻 들어 쉽게 이해가 되지 않을 수도 있는 조언을 제시했다. 시한장치가 되어 있는 랜섬웨어이고, 지금 당장 파일을 사용할 계획이 없다면 그냥 놔두라는 조언이다 (물론 다른 PC에서 작업을 해야 함). 나중에 잠긴 파일을 풀 방법이 안티바이러스 솔루션에 추가될 수 있기 때문이다.

그러나 백업이 그렇게 간단한 일은 아니다. 예를 들어, '문서'나 '사진'이 아닌 파일이나 저장된 게임을 백업하는 방법을 찾아야 할 것이다. 유틸리와 앱 또한 마찬가지이다.


랜섬웨어에 감염되었을 때 해야 할 일
랜섬웨어에 감염되었는지 어떻게 알 수 있을까? 쓸데없는 걱정이다. 자연스럽게 알게 된다. 최근 소탕된 시타델(Citadel) 같은 랜섬웨어는 PC가 아동 포르노에 연루되어 있다는 경고 메시지를 표시한다. 이렇게 두려움을 유발하는 이미지가 표시되는 랜섬웨어가 많다.

당황하지 말기 바란다. 가장 먼저 할 일은 경찰, FBI ICCC(Internet Crime Complaint Center) 등 당국에 연락하는 것이다. 그리고 문제의 범위를 확인한다. 디렉토리를 조사, 감염된 사용자 파일을 확인한다. 이 과정에 이상한 확장자의 문서 파일을 발견했다면 확장자를 바꿔 보기 바란다. 일부 랜섬웨어는 암호화를 하는 것이 아니라, 파일 이름을 변경하는 단순한 방법을 쓴다.

다음 단계는 무엇일까? '식별과 제거'이다. 유료 안티 악성코드가 설치되어 있다면, 하드 드라이브를 스캔하고, 벤더 기술 지원 부서에 연락하거나, 헬프 포럼을 참조한다. 또 다른 좋은 리소스는 NoMoreRansom.com의 Crypto-Sheriff이다. 인텔과 인터폴, 카스퍼스키 랩이 제공하는 자료와 랜섬웨어 삭제 도구 등을 찾을 수 있는 장소이다. 이를 통해 정보를 얻고, 무료 삭제 도구를 이용해 랜섬웨어를 제거할 수 있다.

이런 방법이 모두 실패한다면
불행히도 전문가들은 '돈을 내야 할까? 모든 것을 잃는 위험을 감수할까?'라는 질문의 답이 '지갑을 꺼내는 것'이 되는 때가 많다. 랜섬웨어를 제거할 수 없다면, 데이터의 가치와 필요한 시기를 고려할 수밖에 없다. 다토의 2016년 설문 조사 결과에 따르면, 랜섬웨어 공격을 받은 스몰 비즈니스(중소기업) 가운데 사이버 몸값을 지불한 비율이 42%이다.

2015년 12월부터 2016년 4월까지 마이크로소프트가 탐지한 테스크립트(Tescrypt)가 가장 흔한 랜섬웨어 변종이었다.

랜섬웨어 이면에 사람이 있다는 사실을 유념해야 한다. 전문가들은 랜섬웨어 개발자에게 연락할 방법이 있다면, 연락을 시도해야 한다고 말한다. 이들이 아무 대가 없이 파일 암호를 해제하도록 설득할 수 있을 것으로 기대해서는 안 된다. 그러나 랜섬웨어 개발자는 악당이지만 이윤을 추구한다. 더 많은 시간, 더 적은 금액을 협상할 수 있다는 이야기이다. 또 '프루프 오브 라이프(살아있다는 증거'를 요구하는 것이 좋다. 데이터를 다시 돌려받는 것을 보장받기 위해서이다. 다토 조사에 따르면, 데이터를 되찾지 못한 비율이 약 1/4이다.
명심하라! 예방과 중복(이중화), 백업은 당신에게 선택지를 제공한다. 다른 곳에 데이터 사본을 보관해 뒀다면, PC를 리셋하고, 앱을 다시 설치하고, 백업 소스에서 데이터를 복구하면 그만이다.

'상식' 랜섬웨어 피해를 방지하는 지름길 
필자와 아내의 경우, 클라우드 서비스와 외장 드라이브에 모든 중요한 파일을 백업해 뒀었다. 따라서 PC 리셋에 저녁 몇 시간을 소비한 것이 피해의 전부였다.

새 앱, 플래시 기반 게임 사이트, 악성 광고 클릭 등 랜섬웨어 감염 경로는 다양하다. 우리는 친구가 추천한 할인 쇼핑 사이트 링크를 클릭해 랜섬웨어에 감염됐다. 그리고 닥치는 대로 클릭을 하면 안 된다는 교훈을 얻었다. 이 교훈을 아이들에게도 가르쳤다.

랜섬웨어는 누구에게나 해를 끼칠 사람들이 있으며, 어느 때나 이런 불행이 닥칠 수 있다는 교훈을 남기고 있다. PC를 가정처럼 소중하게 다루면, 다시 말해 청소를 하고, 유지관리를 하고, 외부 위협을 방어할 대책을 세우면 맘 편하게 랜섬웨어라는 최악의 상황을 대비할 수 있다.

*2017년 6월 29일, 랜섬웨어 페트야(Petya) 관련 정보를 업데이트함
editor@itworld.co.kr