암호화를 사용하는 이 랜섬웨어(ransomware)로 인한 지옥에서 탈출하려면 어떻게 해야 할까? 일부 기업들이 이 악랄한 악성코드에 대한 경험을 공유하며, 유일한 탈출구는 백업과 복원이라고 조언했다.
금속 제조 및 엔지니어링 업체인 W.C. 머신 & 툴(W.C. Machine & Tool)의 사무 관리자 크리스 알브레히트는 크립토로커 공격을 받았을 때 "상점 관리자가 파일을 열려고 했더니 암호화 오류만 계속 떴다"며, "스토리지 서버에 있는 파일을 포함해서 네트워크상의 다른 파일을 시도했지만 마찬가지로 모두 접근할 수 없었다. 갑자기 일어난 일이었다"고 말했다.
2주 전, 애리조나 주 챈들러에 소재한 W.C. 머신 & 툴에서 누군가가 크립토로커가 첨부된 이메일을 열었다. 그 결과 크립토로커가 맹렬한 기세로 확산되며 윈도우 기반 컴퓨터들을 감염시키고 가능한 모든 곳에서 파일을 암호화했다.
W.C. 머신 & 툴은 즉시 IT 서비스 제공업체인 마이텍 네트워크 솔루션스(Mytek Network Solutions)에 연락했고, 이 기업의 고객 담당 관리자인 테오 수밀라스는 수만 개의 파일이 암호화되어 접근할 수 없다고 말했다. 이 무렵 암호화를 푸는 키를 대가로 돈을 요구하는 메시지가 수신되었지만 그 요구에 따르자는 사람은 아무도 없었다.
W.C. 머신 & 툴 측은 암호화된 파일 콘텐츠를 모두 '버리고' 백업/복구를 통해 네트워크 파일 체계를 재구축하기로 결정했다. W.C. 머신 & 툴은 클라우드 제공업체인 액시언트(Axient)를 통해 매일 데이터를 백업했기 때문에 복구는 주말 몇 시간 동안 완료됐다.
액시언트의 또 다른 고객인 펜실베이니아 주 워싱턴 소재의 로펌 야블론스키, 코스텔로 & 레키(Yablonski, Costello & Leckie) 역시 지난 몇 주 동안 이와 비슷한 크립토로커 랜섬웨어의 공격을 받았다.
변호사인 J. 스콧 레키에 따르면 이 사건은 로펌에 근무하는 한 변호사가 집 컴퓨터에서 회사 네트워크에 로그인해서 크립토로커가 첨부된 이메일을 열면서 시작됐다.
레키는 "갑자기 그 변호사의 노트북이 작동을 멈췄다"고 말했다. 그 직후 로펌의 다른 윈도우 기반 컴퓨터들도 작동을 멈췄다. 이후 기술 서비스 지원 업체인 시바(Ceeva)를 호출해 "뭔가 잘못됐는데, 뭔지 모르겠다"고 전했다.
시바의 부사장인 릭 토핑은 크립토로커가 시만텍 안티 악성코드와 스팸 필터링을 회피해서 침투한 것이라고 설명했다. 토핑은 크립토로커에 대해 '상당히 동적'이라면서, 경우에 따라서는 안티 악성코드 소프트웨어를 피해가기도 한다고 말했다.
시바 역시 파일을 되찾기 위해서는 백업/복구 프로세스가 필요하다고 판단했고 이 사례의 경우 백업/복구에 한나절이 소요됐다.
레키는 정확히 어떤 크립토로커 감염 이메일이 동료의 컴퓨터에 침투했는지 의문이라면서 크립토로커의 공격에 대처하느라 업무가 중단됐다고 말했다. 레키는 "기업 운영에 있어 데이터를 백업하는 것이 필수적이었다"고 강조하며, "그나마 종이 문서를 여전히 보관하는 것을 다행스럽게 생각했다"고 덧붙였다.
안티 악성코드 업체들은 9월경부터 처음 인지되기 시작한 크립토로커가 주로 피싱 이메일을 통해 미국을 겨냥하고 있으며, 러시아어를 사용하는 사이버 범죄 조직의 소행일 가능성이 높은 것으로 보고 있다.
악성코드바이츠(Malwarebytes)의 선임 보안 연구원인 제롬 세구라는 크립토로커에 대해 "대부분 영어를 사용하는 사람들을 공격 목표로 하며, 주로 미국에서 나타나지만 영국, 오스트레일리아, 캐나다에서도 돌고 있다"고 설명했다.
크립토로커는 AES 256비트 암호화를 사용해서 공격 대상의 데이터를 잠그기 때문에 수작업으로 이 암호화를 깨기란 불가능하다는 것이 악성코드 연구자들의 공통된 의견이다.
만일의 사태에 데이터를 복구하기 위한 최선의 방법은 크립토로커의 직접 감염을 피할 수 있는 백업을 사용하는 것이다. 맥아피의 메시징 데이터 설계자인 아담 워소토스키는 "이런 백업 서비스에서는 백업의 백업도 확보해야 한다"고 말했다.
크립토로커 공격자들은 피해자에게 비트코인을 통해 돈을 지불하면(보통 300달러) 봇넷 기반 C&C(command-and-control) 시스템으로 데이터 암호화를 풀 수 있는 키를 주겠다고 약속한다. 그러나 암호화 키가 전달되지 않는 경우도 있다. 크립토로커의 자동화된 시스템이 피해자 응답 시간에 제한을 걸어둘 수 있기 때문이다.
트렌드 마이크로는 이런 시간 제한이 보통 72시간임을 파악했다. 그러나 물론 이 시간은 변할 수 있다. 트렌드 마이크로의 위협 커뮤니케이션 관리자인 크리스토퍼 버드는 크립토로커가 회피를 위한 가능한 모든 수단을 동원하므로 안티 악성코드 소프트웨어를 통해 탐지/차단되는 경우도 있고 그렇지 않은 경우도 있다고 말했다.
지난 주 안티 악성코드 업체인 비트디펜더(Bitdefender)는 봇넷 C&C 서버의 '싱크홀(sinkholing)'을 통해 크립토로커가 어떻게 활동하는 지를 추적했으며, 10월 27일에서 11월 1일 사이에만 1만 명의 크립토로커 피해자가 발생했다고 밝혔다.
비트디펜더의 커뮤니케이션 전문가인 라즈반 스토이카는 "크립토로커의 목표물이 거의 미국에만 국한된 것으로 보인다"며, "그 이유는 알 수 없지만 '돈이 몰리는 곳이기 때문'일 가능성도 있다"고 말했다. 그러나 빠르게 변화하는 크립토로커의 C&C 인프라는 대부분 미국이 아닌 러시아, 독일, 카자흐스탄, 우크라이나 지역의 서버에 자리잡고 있다.
일부 악성코드 연구자들은 사법 당국이 비트코인 시스템을 통해 추적함으로써 결국 크립토로커를 운영하는 사이버 범죄자들을 찾아낼 것이라고 예상했다.
크립토로커는 현재 대량의 피싱 이메일에 파일을 첨부해 보내는 방법으로 피해자가 첨부 파일을 열도록 유도, 조직에 침투한다. 특정 기업을 대상으로 하는 집중 공격 방편으로 사용되지는 않지만 전형적인 스팸 속임수(예를 들어 FedEx, U.P.S.에서 온 메일인 것처럼 속임)를 통해 반복적으로 공격을 시도한다.
컴퓨터 사용자들을 괴롭힌 랜섬웨어는 크립토로커 이전부터 있었다. FBI 바이러스로 불리는 또 다른 유형의 랜섬웨어는 윈도우 PC와 애플 맥을 모두 공격해서 사용자로부터 시스템 통제권을 빼앗는데, 최근 새로운 교묘한 방법을 사용하고 있음이 드러났다.
악성코드바이츠 연구원 세구라에 따르면 맥 OS X 버전의 랜섬웨어는 현재 최초 300달러 요구에 비해 더 높은 금액을 요구하고 있다. 두 번째 요구는 '당신의 범죄 기록을 갖고 있으며 450달러를 내면 기록을 삭제해 주겠다'고 하는 것이다.
블랙메일에 회신하는 것은 좋지 않은 생각이다. FBI 바이러스는 제거하는 과정이 애플 맥(맥에서는 브라우저 감염 형태에 가까움)보다 윈도우 PC에서 훨씬 더 어렵긴 하지만 어쨌든 제거가 가능하다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.