"페티야와 배드래빗을 막으려면?" 랜섬웨어의 ABC

지난 여름 발생한 워너크라이와 낫페티야 공격 이후 전 세계에 새로운 랜섬웨어가 확산되고 있다. 랜섬웨어는 컴퓨터를 감염시켜 사용자가 몸값을 지급할 때까지 파일에 액세스하지 못하게 한다. 사용자의 귀중한 데이터를 보호하기 위해 해야 할 일을 설명한다.

최근 유행하는 악성 코드는 배드 래빗인데, 카스퍼스키에 따르면 일반 사용자와 기업 모두를 대상으로 퍼뜨린다. 지금까지 러시아와 우크라이나에 공격이 발발했다. 카스퍼스키는 자사 블로그에 배드 래빗 화면 캡처를 첨부했다.

ESET 역시 키에프 전철과 오데사 공항이 상대적으로 덜 알려진 디스크코더(Diskcoder) 신 버전 랜섬웨어의 피해를 입었다고 보도했다. 이 역시 배드 래빗의 일종일 가능성이 있다.

랜섬웨어는 사용자가 합법적 웹 사이트를 방문할 때 자동으로 다운로드 되나, 기전 랜섬웨어와는 달리 어떤 익스플로잇도 사용하지 않고, 사용자가 프로그램을 수동으로 실행시켜야 한다. 보통 어도비 플래시 설치 프로그램으로 나타난다.

프로그램이 실행되면, 다른 랜섬웨어와 비슷하게 사용자에게 300달러~1 비트코인을 몸값으로 요구한다.

ESET은 러시아와 우크라이나에 이어 터키, 불가리아 등 유럽 국가들이 배드 래빗 피해를 받았다고 밝혔다.

또한, 워너크라이 취약성 유출에 책임이 있는 다른 그룹인 쉐도우 브로커는 더 많은 취약점이 유출될 것이라고 위협했다. 로이터 통신은 “월 단위로 데이터 덤프를 계획한다”며 비싼 값을 부르는 곳에 솔루션을 판매할 것이라고 밝힌 단체의 블로그를 보도한 적이 있다. 이어서 익스플로잇으로 범죄자들이 웹 브라우저, 스마트폰, 공유기, 윈도우 10 시스템에 침입할 수 있는 맬웨어를 코딩할 수 있다고 밝혔다.

랜섬웨어에 대한 기본 지식을 이해하고, 다음의 조언을 받아들여 PC와 데이터를 안전하게 지키는 법을 생각해보자.

랜섬웨어란 무엇인가?
랜섬웨어는 컴퓨터 바이러스 같은 악성 프로그램으로, PC 하드 드라이브를 검사하고 최대한 많은 파일을 암호화 해 사용자가 임의로 액세스할 수 없도록 설계되었다. 파일은 사라지지 않고 여전히 존재하지만, 파일을 되찾으려면 금전적인 대가를 지불해야 한다. 보통은 익명성이 무기인 비트코인이 수단으로 활용된다.

파일 접근 해제 과정은 종종 수동으로 파일을 코딩하는 해커가 수행해야 한다. 그러나 범죄자를 대상으로 몸값을 지불하면 거래가 성립될 것이라고 속단하는 것은 위험하다. 대부분의 전문가는 몸값을 지불하지 않는 것을 권한다.

랜섬웨어는 어떻게 작동하는가?
다른 악성코드와 마찬가지로 이메일 첨부 파일로도 감염될 수 있다. 사용자가 첨부파일을 열거나 이메일 링크를 클릭하면 프로그램이 실행된다.

발신자가 사용자의 주소록에 등록된 사람이기 때문에, 사용자들이 경계하지 않고 아무 생각 없이 링크를 클릭하는 일이 잦지만, 최선의 충고는 무엇이든 완전히 신뢰하지 않는다면 열지 말라는 것이다.

페티야의 경우 기업 네트워크의 시스템 관리자를 대상으로 공격이 이뤄졌다. 최대한 많은 네트워크 상의 컴퓨터를 제어하려면 상위 자격 증명에 액세스해야 하기 때문이다. 일부 랜섬웨어는 컴퓨터의 하드 디스크의 MBR 섹션을 덮어 쓴다. 이 섹션은 윈도우가 부팅되지 않도록 하고 파일 액세스를 막는다.

랜섬웨어 희생자가 데이터를 다시 가져올 수 있는 수정 프로그램이나 도구가 공개되기도 했다.

배드 래빗은 웹 사이트를 방문할 때 자동으로 하드 디스크에 저장된다는 의미에서 ‘드라이브 바이 다운로드’라는 방식이다. 그러나 이 상태에서는 무해한 것으로 보이며, 삭제할 수도 있다. 파일은 암호화 작업을 수행할 수 있는 프로그램을 실행할 경우에만 활성화된다.

어떤 윈도우 버전이 영향을 받는가?
과거 랜섬웨어와 달리 배드 래빗은 윈도우 취약점을 사용하지 않는 것으로 보인다. 그러므로 모든 윈도우 버전이 영향을 받을 수 있지만, 실제로 다운로드 된 프로그램을 수동으로 실행해 피해를 주는 것은 사용자 본인이라 할 수 있다. 링크나 콘텐츠를 클릭할 때 매우 신중해야 하며, 바이러스 백신 소프트웨어가 최신 버전인지 확인해야 한다.

최근의 낫페티야 공격은 워너크라이와 동일한 EternalBlue 취약점이 있는 기업을 대상으로 이뤄졌다. 마이크로소프트는 2017년 3월에 모든 윈도우 버전의 보안 취약점을 해결하는 패치를 발표했다.

이런 윈도우 업데이트는 기본적으로 자동으로 이루어지기 때문에 대다수 가정용 PC는 안전한 편이다. 자동 업데이트 기능을 비활성화한 기업용 PC는 패치를 설치하지 않으면 여전히 위험한 상태에 놓인다.

윈도우 10 실행 PC도 보호해야 한다. 마이크로소프트는 윈도우 XP와 윈도우 8용 보안 패치도 발표했는데, 지원이 종료된 운영체제를 대상으로 한 보안 패치는 매우 드문 일이다. 패치는 마이크로소프트 블로그 링크에서 다운로드할 수 있다.

또, IDG 독일 사이트인 PCWelt에서 다운로드 할 수 있는 무료 도구로 PC에 필요한 패치가 설치되어 있는지 확인할 수 있다.

랜섬웨어 위험에서 파일을 지키려면 어떻게 해야 하나?
윈도우 업데이트가 활성화되어 있으면, 기존 랜섬웨어에 대한 대비는 되어있다. 그러나 100% 안전한 것은 아니다.

컴퓨터가 최신 업데이트를 다 받았는지 확실하지 않으면, 제어판 > 윈도우 업데이트 에서 최신 업데이트를 받을 수 있는지 확인한다. 업데이트 확인 버튼을 누르면, 윈도우가 중요 업데이트를 검색하고 설치한다. 그러나 이 단계에서 안전하다고 안심해서는 안 된다. 더 중요한 단계가 남아있다.

백업!
가장 좋은 방어책은 중요한 파일을 복사본으로 만드는 것이다. 교체할 수 없는 사진, 영상, 재정 문서 등 중요한 파일은 정기적으로 백업해야 한다.

랜섬웨어는 홈 네트워크를 스캔하고 네트워크로 연결된 다른 컴퓨터와, 네트워크 스토리지 드라이브를 감염시킬 만큼 스마트하다. USB 드라이브나 외장 하드 드라이브에 복사본을 만들어서 안전하게 보관하는 것이 중요하다.

첨부 파일 열지 않기
최종 사용자들은 체인의 약한 고리에 해당한다. 윈도우, 바이러스 백신 소프트웨어는 랜섬웨어 공격에서 사용자를 보호할 수 있지만, 사용자가 이메일 첨부파일이나 링크를 클릭하고 실행하기 전에 경계하는 것이 가장 좋다.

보통 해커가 보낸 이메일에는 개인적 메시지가 포함되어 있지 않거나 매우 일반적인 내용만 쓰여 있어서 ‘발신인’ 항목의 이메일인지 확인하지 않게 된다. 워너크라이는 송금에 관련해 금융사가 보낸 중요 이메일을 가장하는 수법을 자주 쓴다.

너무 일반적이거나 알 수 없는 링크가 포함된 이메일을 받았을 때는 발신자에게 연락해 이메일을 보냈는지, 첨부파일이나 링크가 무엇인지 문의해야 한다. 첨부 파일이 안전하다는 전제가 없으면 클릭해서는 안 된다.

바이러스 백신 소프트웨어가 랜섬웨어를 차단하지 않는가?
전부는 아니지만, 대다수 바이러스 백신 소프트웨어는 워너크라이 등의 소프트웨어를 차단하고 PC와 노트북을 보호하는 안티 랜섬웨어 기능을 지원한다.

윈도우 자체 보안에만 의존하지 말고 추가적인 보호 계층으로 안전을 기하는 것이 중요하다. TechAdvisor가 가장 선호하는 보안 소프트웨어는 비트디펜더(BitDefender)이나, 다른 훌륭한 업체도 많다.

랜섬웨어에 감염되었다면, 무엇부터 해야 할까?
우선, 몸값을 지불하지 말아야 한다. 악성 소프트웨어를 만들어 돈을 버는 것이 범죄자들의 목표인데, 이 연결 사슬에 참여해서는 안 된다. 그리고 돈을 지불한다고 해도 파일을 되찾을 수 있다는 보장은 없다.

복사본이 있으면, 복구 파티션을 사용해 시스템을 초기 설정으로 복원할 수 있다. 또는 윈도우를 다시 설치하는 방법이 있다. 앱을 다시 설치하고 백업 파일을 복사하는 과정이 포함된다.

노드VPN(NordVPN)의 CMO 마티 P. 캠든은 “최상의 보호 메커니즘 중 하나는 패치”라고 말했다. 또 다른 방법은 “랜섬웨어는 부팅되면서 작동하므로, 부팅 전에 시스템을 중단하는 것”을 들었다. 랜섬웨어가 PC가 감염시키면, 리부팅까지 보통 한 시간 동안 기다린다. 시스템을 암호화하려면 재부팅이 필요한데, 암호화 과정을 방해하면 데이터를 보호할 수 있다”고 말했다. 캠든은 경고 메시지를 클릭하지 말고 Alt+F4를 사용해 창을 닫거나, 작업 표시줄 아이콘을 마우스 오른쪽 클릭으로 닫으라는 조언도 했다. editor@itworld.co.kr