디지털 디바이스 / 모바일 / 보안

업데이트 : 랜섬웨어 피해를 예방하고 극복하기 위한 ‘전투 계획’

Mark Hachman | PCWorld 2017.06.29

랜섬웨어는 보통 악성코드처럼 PC에 슬금슬금 침입하지 않는다. 불쑥 들어와, 데이터에 총을 겨누고 현금을 요구한다. 그리고 스스로를 방어하는 방법을 배우지 않으면 페트야(Petya)처럼 계속해서 반복된다.

우크라이나와 일부 유럽 국가의 기업을 공격한 페트야는 다른 랜섬웨어와 마찬가지로 몸값을 낼 때까지 파일을 암호화한다. 페트랩(Petrwrap), 엑스표트르(exPetr), 소타페트야(SortaPetya) 등으로도 알려져 있는 페트야는 현재 연구원들이 빠르게 확산을 방지한 상태다. 페트야 랜섬웨어를 완전히 삭제하는 방법은 없으나, 연구원들은 PC를 면역 처리하는 방법을 공개했고, 보안 업체들은 이미 이를 차단하기 위한 조치를 취하고 있는 중이다. 

페트야는 워너크라이(WannaCry)에 이은 두 달 사이 발생한 두 번째 대규모 랜섬웨어 공격이다. 워너크라이는 NSA(National Security Agency)가 개발한 소프트웨어를 악성코드화시킨 것으로 알려져 있다. 영국 NHS(National Health Service)를 비롯해 전 세계의 여러 은행과 기업이 피해를 입었다.

랜섬웨어는 정보 슈퍼고속도로를 질주하는 디지털 무장 강도이다. 액션 영화 속 이야기처럼 들릴지 모르겠지만, 통계는 사실임을 알려준다. 랜섬웨어 공격은 2015년 380만 건에서 2016년 6억 3,800만 건으로 증가했다. 소닉월(Sonicwall)에 따르면, 악성코드 공격은 감소했지만 랜섬웨어는 연간 167배가 증가했다. 그냥 현금을 요구할 수 있는데 데이터를 훔칠 이유가 없다.

샌프란시스코에서 열린 RSA 보안 컨퍼런스에서는 사상 처음 공격 표적, 요구받는 금액, 랜섬웨어를 차단하고 제거하는 방법, 데이터를 인질로 잡은 악당들과 협상하는 방법 등을 자세히 소개한 하루 일정의 종합적인 랜섬웨어 세미나가 개최됐다. 우리는 랜섬웨어에 대응하는 전략을 수립할 때 사용할 수 있는 수많은 정보를 얻었다.

맬웨어바이츠(Malwarebytes) 같은 안티 랜섬웨어 솔루션은 좋은 선택지이지만, 완벽하진 않다.

페트야에 대비하기
블리핑컴퓨터(BleepingComputer)에 따르면, 페트야 랜섬웨어는 ‘perfc’로 알려진 파일을 발견한 경우, 실제로 PC의 파일을 암호화하진 않는다. 다행히 직접 이 파일을 생성하면, 페트야가 실행되지 않는다. 

블리핑컴퓨터는 perfc 파일을 간단히 생성하는 법을 공개했다. notepad.exe 파일을 찾아서 복사한 다음, 이것을 perfc로 이름을 변경하고, 읽기 전용으로 설정하면된다. 또한, 같은 역할을 하는 배치 파일 링크도 공개했다. 수동으로 perfc 파일을 생성하는 것은 단 1분 정보밖에 걸리지 않지만, 배치 파일은 .dat나 .dll 파일도 함께 생성해 페트야의 PC 감염을 한 번 더 대비할 수 있도록 한다.


아픈 곳을 공격하는 랜섬웨어 - 준비하라!
3년 전, 필자 아내의 컴퓨터가 랜섬웨어 공격을 받아 아기 사진, 세금 관련 자료, 기타 개인 데이터가 위험에 노출됐다. 맥이 풀렸다. 우리의 디지털 일생을 잃지 않기 위해 수백 달러를 지불해야 할까? 다행히 그럴 필요는 없었다. 전문가들이 추천한 모든 단계적 방법을 실천했기 때문이다.

첫째, 적을 이해해야 한다. 인텔 시큐리티(Intel Security) EMEA 사업 부문의 라즈 사마니 최고 기술 책임자에 따르면, 현재 랜섬웨어는 400여 종이다. 이중에는 맥OS와 리눅스를 표적으로 삼는 랜섬웨어도 있다. 다토(Datto)의 조사에 따르면, 시한장치 암호화로 개인 문서를 인질로 잡는 크립토로커(CryptoLocker)가 가장 많다. 그러나 공격 방법이 다양하다. 예를 들어, 센티넬원(SentinelOne)의 보안 전략 책임자인 제레미아 그로스먼에 따르면, 웹캠으로 창피한 순간을 녹화한 후, 온라인에 올리겠다고 위협하는 랜섬웨어 공격이 있었다.

전문가들은 몇 가지 상식적인 조치로 악성코드와 랜섬웨어 노출 위험을 경감할 수 있다고 강조한다.

• 상시 윈도우 업데이트로 PC를 최신 상태로 유지한다.

• 방화벽과 안티 악성코드 솔루션을 가동한다. 윈도우 방화벽(Windows Firewall)과 윈도우 디펜더(WIndows Defender)도 그럭저럭 적절하고, 서드파티 안티 악성코드 솔루션은 훨씬 더 우수하다. 지난 주말 전세계적으로 퍼져 많은 피해를 양산한 워너크라이(WannaCry) 패치도 이미 배포되었으며, 윈도우 8과 윈도우 XP용 패치도 발표됐다.

• 그러나 이런 프로그램을 전적으로 믿어서는 안 된다. RSA 세션에서 발제자로 나선 전문가들은 안티바이러스 회사들은 랜섬웨어를 겨우 막는 정도이며, 랜섬웨어 방어를 보장하지 않는다고 지적했다.

• 어도비 플래시(Adobe Flash)를 끈다. 구글 크롬 등 브라우저의 경우 기본 값으로 플래시를 끄고 서핑을 해야 한다.

• 오피스 매크로를 끈다. 오피스 2016의 경우, 옵션 > 보안 센터 > 보안 센터 설정 > 매크로 설정 또는 상단 검색 상자에 '매크로'를 입력한 후 '보안' 상자를 열어 매크로를 제외시킬 수 있다.

• 웹페이지나 이메일에서 의심스러운 링크는 열지 않는다. 악성 링크를 클릭하면서 랜섬웨어에 감염되는 사례가 가장 많다. 다토가 조사한 감염 사례 가운데 2/3는 1대 이상의 장치가 감염된 사례이다. 감염된 사용자가 링크를 포워딩하는 등 더 많은 위험을 노출시킨다는 의미이다.

• 인터넷의 '음지'도 멀리해야 한다. 적법한 사이트의 경우에도 사용자가 주의를 기울이지 않으면 악성 광고 때문에 악성코드에 감염될 수 있다. 그렇지만 방문해서는 안 될 장소를 방문할 때 위험이 증가한다.

전용 안티 악성코드 도구의 경우, 랜섬웨어를 억지할 수 있다고 광고하는 맬웨어바이트(Malwarebytes) 3.0을 고려하기 바란다. 랜섬프리(RansomFree)에도 랜섬웨어 방지 기술이 도입되어 있다. 통상 안티 악성코드 프로그램의 랜섬웨어 방지 기능은 유료다. 비트디펜더( Bitdefender)의 안티-랜섬웨어(Anti-Ransomware) 도구는 무료이다. 그러나 가장 흔한 랜섬웨어 변종 4개만 방어한다.

완벽하지는 않지만 꽤 좋은 방어책 : 백업
랜섬웨어는 가장 소중한 파일을 암호화하고, 잠근다. 이런 파일들을 취약한 상태로 유지해서는 안 된다. 백업은 꽤 좋은 전략이다.

온라인과 오프라인에 데이터 백업을 해두면 안심할 수 있다.

박스, 원드라이브, 구글 드라이브 등 무료 스토리지에 데이터를 자주 백업한다. (그러나 행동이 늦어 감염된 파일을 클라우드 서비스에 백업할 수도 있다는 점을 경계하라!) 외장 하드 드라이브 구입도 방법이다. 시게이트 1TB 외장 하드 드라이브 가격은 55달러에 불과하다. 자주 쓰지 않는 파일을 저장하는 '콜드 스토리지'로 외장 하드를 활용한다. 자주 조금씩 백업을 하고, 드라이브를 분리해 데이터 사본을 고립시킨다.

감염된 경우, 파일 탐색기로 '인질'이 된 파일들을 알 수 있다. '.DOC'나 '.DOCS' 등 통상의 확장자 뒤에 이상한 확장자가 추가된 파일들이다. 아바스트(Avast)의 온드레즈 블체크(Ondrej Vleck) 최고 기술 책임자(CTO)는 언뜻 들어 쉽게 이해가 되지 않을 수도 있는 조언을 제시했다. 시한장치가 되어 있는 랜섬웨어이고, 지금 당장 파일을 사용할 계획이 없다면 그냥 놔두라는 조언이다 (물론 다른 PC에서 작업을 해야 함). 나중에 잠긴 파일을 풀 방법이 안티바이러스 솔루션에 추가될 수 있기 때문이다.

그러나 백업이 그렇게 간단한 일은 아니다. 예를 들어, '문서'나 '사진'이 아닌 파일이나 저장된 게임을 백업하는 방법을 찾아야 할 것이다. 유틸리와 앱 또한 마찬가지이다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.