보안 / 프라이버시

워너크라이 랜섬웨어, 몸값을 지불해도 자동으로 해독 안된다…보안 연구원

Michael Kan  | IDG News Service 2017.05.17
지난 12일 대규모 워너크라이(WannaCry) 랜섬웨어 공격으로 인해 전세계에 피해자들은 '몸값을 지불해야 하는가'라는 어려운 질문에 봉착했다.

그런데, 답은 간단했다. 워너크라이 피해자가 몸값을 지불하더라도 빠른 응답을 기대해서는 안되며, 응답 자체를 기대해서도 안된다. 보안 연구원에 따르면, 지불 후에도 이 랜섬웨어는 자동적으로 피해자 컴퓨터에 담긴 암호화된 파일을 해독하지 않는다.


Credit: Michael Kan

대신 피해자들은 워너크라이 개발자가 인터넷을 통해 감염된 컴퓨터를 원격으로 사용하길 기다려야 한다. 전적으로 수동으로 진행되는 이 프로세스에는 심각한 결함이 있다. 이 해커는 누가 몸값을 지불했는 지 파악할 방법이 없다는 점이다.

시만텍(Symantec) 기술이사 비크람 타쿠르는 "암호화된 파일을 되돌릴 수 있는 확률은 매우 적다. 피해자는 몸값을 아끼고 감염된 컴퓨터를 재설치하는 편이 낫다"고 말했다.

지난 12일 워너디크립터(WanaDecryptor)로 알려진 워너크라이 랜섬웨어가 컴퓨터 웜 바이러스처럼 취약점이 있는 윈도우 시스템을 대규모로 감염시켰다. 미국 국토안보보좌관 톰 보셋트는 15일 "지금까지 150개국 30만 대의 컴퓨터가 공격을 받았다"고 밝혔다.

이번 감염은 PC의 모든 파일을 암호화한 다음, 300달러 또는 600달러 어치의 비트코인(bitcoin)을 요구하는 것으로 시작한다. 몸값을 지불하지 않는 피해자는 7일 후 파일을 삭제당한다.

보안업체인 해커하우스(Hacker House) 이사 매튜 히키는 감염된 PC를 보유한 이들은 자신의 파일을 되찾고자 몸값을 지불하고 싶겠지만, 몸값을 지불하더라도 파일을 되돌리지는 못할 것이라고 말했다.

이 랜섬웨어 범죄자가 사용자의 감염된 컴퓨터 시스템을 복호화하기 위해서는 감염된 컴퓨터에 해독키를 수동으로 보내는 수밖에 없기 때문에 시간이 많이 소요된다. 히키는 "피해자는 범죄자의 자비심에 전적으로 기대고 있는 상황"이라고 말했다.

이번 랜섬웨어의 또다른 문제는 누가 얼마를 지불했고, 어떤 컴퓨터가 감염됐는 지를 파악하는 매커니즘이 없다는 것이다.

보안업체인 체크포인트(Check Point) 위협정보그룹 관리자 마야 호로위츠는 "피해자는 3개의 비트코인 지갑 가운데 하나에 돈을 지불하고 해독키를 기다리라는 말을 듣는다. 그러나 대부분의 랜섬웨어와는 달리, 워너크라이는 어떤 컴퓨터가 몸값을 지불한 것인지 식별할 수 있는 프로세스가 없다"고 말했다.
대신 사용자는 '지불 확인(check payment)'이라는 랜섬 게시에 표시된 버튼만 볼 수 있다.

히키와 호로위츠는 이번 랜섬웨어 피해자가 몸값 지불을 통해 감염된 컴퓨터를 성공적으로 해독한 사례를 들어본 적이 없다고 말했다. 보안업체 F-시큐어(F-Secure) 연구 책임자 미코 히포넨은 15일 몸값을 지불한 일부 피해자가 파일을 해독했다고 트윗을 했지만, 지금까지 자세한 내용은 공개하지 않았다.

워너크라이 배후 범죄자들이 지불을 위해 제공하고 있는 3개의 비트코인 지갑의 기록에 따르면, 이미 5만 6,000달러 이상의 돈을 모였다. 히키는 "돈을 보고 행한 범죄라면 이는 그리 현명한 방법은 아니었다"고 말했다.

예를 들어, 범죄자들이 몸값을 10달러로 낮추고 누구나 몸값을 지불할 수 있게 만들어놨다면, 30만 대가 넘는 컴퓨터가 감염된 현재 상황이라면 낮은 몸값이라도 엄청난 돈을 착취할 수 있었다. 대신 범죄자들은 더 큰 금액을 요구한 뒤 피해자들이 지불한 금액을 받았는지조차 의심스러운 조잡한 지불 프로세스를 사용했다.

워너크라이를 만든 이가 아마추어인지 숙련된 해커인지는 불명확하지만, 한 보안 연구원이 랜섬웨어 내에 활성화할 수 있는 킬 스위치를 통해 일시적으로 공격을 막을 수 있었다는 사실을 비춰보면, 만든 이는 조금 엉성한 면이 있음을 추정할 수 있다.

그러나 워너크라이는 적어도 하나의 기능은 잘 수행한다. 감염된 시스템의 모든 파일을 완벽하게 암호화한다는 것이다. 보안 전문가들은 이미 감염된 컴퓨터를 구제하는 방법에 대해 연구하고 있다. 시만텍의 타쿠르는 "(워너크라이의) 암호화 이행은 매우 견고했다. 암호화를 풀 여지가 없었다"고 말했다.

또한 보안 전문가들은 워너크라이가 새롭고 업데이트된 변형으로 다시 공격할 수 있다고 경고했다.

감염을 방지하기 위해서는 윈도우 시스템에 최신 패치를 설치하고 윈도우 XP나 8과 같은 취약한 윈도우 시스템이라면 최신으로 업그레이드해야 한다. 또한 렌섬웨어를 탐지하고 중지할 수 있는 윈도우 디펜더(Windows Defender)와 같은 안티바이러스 제품을 실행해야 한다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.