파일 암호화 악성코드 랜섬웨어의 동작 방식과 제거 방법

최근 감소세에도 불구하고 랜섬웨어는 여전히 심각한 위협 요소다. 파일 암호화 악성코드 랜섬웨어의 작동 방식에 대해 알아야 할 모든 것을 살펴본다. 
 

     

랜섬웨어란 

랜섬웨어(Ransomware)는 피해자의 파일을 암호화하는 악성코드의 일종이다. 암호화한 후, 공격자는 데이터에 대한 액세스를 복구하려는 피해자에게 몸값을 요구한다. 

암호 해독 키를 얻기 위해 몸값을 지불하는 방법에 대한 지침서가 사용자에게 표시된다. 사이버범죄자에게 지불하는 비용은 비트코인으로 수백 달러에서 수천 달러에 이를 수 있다. 

랜섬웨어 작동 방식 

랜섬웨어가 컴퓨터에 액세스하기 위해 취할 수 있는 방법은 많다. 가장 일반적인 전송 방법은 피싱 스팸(phishing spam)이다. 사이버 범죄자는 피싱 스팸을 피해자에게 이메일로 전송하는데, 신뢰할 수 있는 파일로 가장한다. 

일단 피해자가 다운로드해 열면, 특히 사용자가 관리 액세스를 허용하도록 내장된 소셜 엔지니어링 도구가 있는 경우, 피해자의 컴퓨터를 차지할 수 있다. 낫페트야(NotPetya)와 같이 더욱 공격적인 랜섬웨어는 사용자를 속일 필요없이 보안 허점을 이용해 컴퓨터를 감염시킨다. 

피해자의 컴퓨터를 차지한 후에는 악성코드가 수행할 수 있는 작업이 몇 가지 있지만, 가장 일반적인 조치는 사용자 파일의 일부 또는 전부를 암호화하는 것이다. 여기서 알아야 할 것은 작업이 끝난 후에는 공격자만 알고 있는 키가 없으면 파일을 해독할 수 없다는 점이다. 사용자는 이제 파일에 액세스할 수 없으며, 피해자가 추적할 수 없는 비트코인을 공격자에게 보내는 경우에만 해독할 수 있다는 메시지를 받는다. 

일부 악성코드에서 공격자는 포르노 또는 불법 복제된 소프트웨어가 존재해 피해자의 컴퓨터를 폐쇄하고 벌금을 지불하라고 요구할 수 있는 법 집행기관이라고 주장하는데, 아마도 피해자들이 당국에 신고할 가능성이 낮기 때문이다. 대부분의 공격자는 이런 거짓말을 서슴없이 한다. 몸값을 지불하지 않으면 피해자의 하드 드라이브에 있는 민감한 데이터를 공개하겠다고 위협하는 리크웨어(leak ware)나 독스웨어(doxware)라고 하는 변형도 있다. 그러나 이런 정보를 찾고 추출하는 것은 공격자에게 매우 까다로운 일이므로 암호화 랜섬웨어가 가장 흔한 유형이다. 

랜섬웨어의 표적은 누구인가? 

공격자가 랜섬웨어의 표적으로 하는 기업을 선택하는 방법은 여러 가지다. 예를 들어, 소규모 보안팀과 많은 파일 공유를 수행하는 상이한 사용자 기반을 가지고 있는 대학의 경우, 공격자는 침투하기 쉽기 때문에 대상이 될 가능성이 높다. 

반면 일부 기업은 몸값을 빨리 지불할 가능성이 높기 때문에 표적이 될 수도 있다. 예를 들어, 정부 기관이나 의료 기관은 파일에 즉시 액세스해야 한다. 민감한 데이터를 보유한 법률 업체나 관련 기관들은 해킹에 대한 뉴스에 오르내리기 싫어 기꺼이 비용을 지불할 수 있으며, 이런 정부 기관이나 기업은 리크웨어 공격에 민감할 수 있다. 

그러나 이런 유형의 기업이 아니라고 안전하다는 것은 아니다. 일부 랜섬웨어는 인터넷에 자동으로, 무차별적으로 확산시킨다. 

랜섬웨어 방지 방법 

랜섬웨어 감염을 방지하기 위해 취할 수 있는 여러 가지 방어 조치가 있다. 다음 단계는 일반적으로 좋은 보안 관행이므로 이를 따르는 것만으로 모든 종류의 공격으로부터 방어력을 향상시킬 수 있다. 
 

• 악용할 수 있는 취약점이 적도록 운영체제를 최신 상태로 유지한다. 
• 해당 소프트웨어가 무엇인지, 어떤 기능을 하는지 정확히 알지 못할 경우, 소프트웨어를 설치하거나 관리 권한을 부여해서는 안된다. 
• 랜섬웨어와 같은 악성 프로그램을 탐지하는 안티바이러스 소프트웨어와 무단 애플리케이션이 애초에 실행되지 않도록 하는 화이트리스트 소프트웨어를 설치한다. 
• 파일을 자주 자동으로 백업한다. 이것으로 악성코드 공격을 막을 수는 없지만, 악성코드로 인한 피해는 훨씬 줄일 수 있다. 

랜섬웨어 제거하기 

컴퓨터가 랜섬웨어에 감염된 경우, 컴퓨터를 다시 제어해야 한다. 중요한 단계는 다음과 같다.
 

• 윈도우 10을 안전 모드(safe mode)로 재부팅한다. 
• 악성코드 방지 소프트웨어를 설치한다. 
• 랜섬웨어 프로그램을 찾기 위해 시스템을 검사한다. 
• 컴퓨터를 이전 상태로 복원한다. 

하지만 여기서 명심해야 할 중요한 사항이 있다. 이런 단계를 거치면 컴퓨터의 악성 프로그램을 제거하고 제어할 수 있는 상태로 복원할 수 있지만, 암호화된 파일을 해독하지 않는다. 이 파일들은 이미 읽기 불가능한 상태로 변했고, 악성코드가 조금이라도 정교하다면 공격자가 갖고 있는 키에 접근하지 않고는 누구든 해독하기 불가능할 것이다. 실제로 악성코드를 제거함으로써 공격자가 파일을 복구할 가능성을 차단한 것이다. 

랜섬웨어와 관련된 사실과 수치 

사이버 범죄자에게 랜섬웨어는 큰 비즈니스다. 랜섬웨어는 많은 돈이 오고가며, 시장은 2010년 대 초부터 빠르게 성장했다. 2017년 랜섬웨어는 지급된 몸값과 공격으로부터 복구하는 데 소요된 비용과 시간을 포함하면 50억 달러 이상의 손실을 가져왔다. 이는 2015년에 비해 15배 늘어난 수치다. 2018년 1분기 랜섬웨어인 샘샘(SamSam)은 몸값으로 100만 달러를 탈취했다. 

특히 일부 산업계에서는 랜섬웨어의 몸값을 지불하는 경향이 있다. 병원이나 다른 의료 기관에서 많은 랜섬웨어 공격이 발생했다. 공격자는 의료 기관은 말 그대로 생명이 위태로운 상황에 봉착하는 것을 막기 위해 몸값을 지불할 가능성이 높다는 점을 알고 있다. 랜섬웨어 공격의 45%가 헬스케어 업체를 목표로 하고, 반대로 헬스케어 업체는 악성코드 감염의 85%가 랜섬웨어인 것으로 추정된다. 윌리 서튼에 따르면, 랜섬웨어에 또다른 매력적인 산업군은 바로 금융 서비스로, 2017년 금융업체의 90%가 랜섬웨어의 공격 대상이 됐던 것으로 알려졌다.  

악성코드 방지 소프트웨어가 사용자를 100% 보호하지 않는다. 랜섬웨어는 개발자에 의해 지속적으로 작성되고 수정되기 때문에 그 시그니처가 일반적인 안티바이러스 프로그램에 의해 잡히지 않는 경우가 많다. 실제로 랜섬웨어의 피해자가 된 기업의 75%가 감염된 기계에 최신 엔드포인트 보호 소프트웨어를 실행하고 있었다. 

랜섬웨어는 예전처럼 널리 보급되지 않았다. 약간의 좋은 소식이라면 랜섬웨어 공격은 2010년대 중반에 한번 폭발적으로 증가한 후, 줄어들었다는 점이다. 초기 수치는 여전히 충분히 높았다. 그러나 2017년 1분기 랜섬웨어 공격은 악성코드 페이로드의 60%를 차지했는데, 지금은 5%로 떨어졌다. 

랜섬웨어가 감소하고 있다? 

이런 급속한 하락세는 무엇을 의미할까? 여러 면에서 사이버 범죄자의 선택 통화인 비트코인을 기반으로 한 경제적 결정이다. 피해자에게 몸값을 요구하는 것은 항상 체포의 위험이 있고, 몸값을 놓치기 일수였다. 피해자는 몸값을 지불하지 않기로 결정할 수도 있고, 지불하고 싶어도 비트코인에 익숙하지 않아 지불할 수 없는 상황일 수도 있다.
  
카스퍼스키가 지적한 바와 같이, 랜섬웨어의 감소는 소위 크립토마이닝(cryptomining) 악성코드의 증가와 일치한다. 크립토마이닝은 대상 컴퓨터를 감염시키고 컴퓨팅 능력을 사용해 소유자 모르게 비트코인을 채굴한다. 이는 몸값을 강탈하는 데 어려움을 대부분 해소하면서 다른 사람의 리소스를 사용해 비트코인을 얻는 깔끔한 경로로, 2017년 말 비트코인 가격이 급등하면서 사이버 공격만큼 매력적이었다.
 
그렇다고 랜섬웨어 위협이 끝났다는 의미는 아니다. 랜섬웨어 공격에는 2가지 종류가 있다. 컴퓨터를 무차별적으로 대량 감염을 시도하는 범죄자가 대여할 수 있는 이른바 서비스형 랜섬웨어(randomware as a service) 플랫폼을 포함한 범용형 공격과 특히 취약한 시장과 공공 기관 및 기업에 초점을 맞춘 표적형 공격이 있다. 대규모 랜섬웨어 붐이 지나갔더라도 표적형 공격은 상당히 경계해야 한다. 

2018년 비트코인 가격이 하락하면서 공격자에 대한 비용 편익 분석이 되돌아갈 수 있다. 맥아피 CTO 스티브 그로브먼은 "궁극적으로 랜섬웨어 또는 암호화 악성코드를 사용하는 것은 공격자의 비즈니스 결정이며, 암호화폐 가격이 하락함에 따라 랜섬웨어로 다시 전환하는 것은 당연하다”라고 말했다. 

몸값은 지불해야 하는가?

시스템이 악성코드에 감염되고 손실된 중요한 데이터가 백업으로도 복원할 수 없는 경우, 몸값을 지불해야 하나? 

이론적으로 말하면, 대부분의 법 집행기관은 랜섬웨어 공격자에게 비용을 지불하지 말 것을 권장한다. 돈을 지불하면 랜섬웨어 공격자에 더 많은 랜섬웨어를 만들도록 부추길 뿐이라는 논리에 근거한다. 즉, 악성코드에 감염된 것으로 알려진 많은 공공 기관과 기업은 ‘공공의 이익(greater good)’이라는 관점이 아닌 비용 편익 분석을 통해 암호화된 데이터의 가치와 몸값을 저울질한다. 트렌드 마이크로의 조사에 따르면, 66%의 기업이 원칙적으로 결코 몸값을 지불하지 않을 것이라고 응답한 반면, 실제로 피해를 입은 기업의 65%가 몸값을 지불했다. 
 
랜섬웨어 공격자는 비교적 낮은 몸값을 유지하고 있다. 보통 700달러에서 1,300달러 사이인데, 이 정도 금액이면 기업은 단기간에 지불할 수 있다. 일부 정교한 악성코드는 감염된 컴퓨터가 실행되는 국가를 탐지해 그 국가 경제에 맞게 몸값을 조정해 부유한 국가의 기업에게는 더 많은 금액을 요구하고 가난한 국가의 기업에게는 적은 돈을 요구한다. 

피해자들이 이에 대해 너무 많이 생각하기 전에 빨리 몸값을 지불하도록 종종 할인을 제공하기도 한다. 일반적으로 몸값의 가격은 범죄자가 들인 시간만큼 충분히 높지만, 피해자가 컴퓨터를 복구하거나 잃어버린 데이터를 재구성하기 위해 지불해야 할 비용보다는 저렴하게 설정된다. 이를 염두에 두고 일부 기업은 자체 보안 계획에 몸값을 지불해야 할 필요성을 고려하기 시작했다. 예를 들어, 암호화폐와 관련이 없는 영국의 일부 대기업은 몸값 지불을 위해 비트코인을 비축해 두고 있다.  

여기에서 상대하는 사람이 당연히 범죄자라는 사실을 명심하면서 기억해야 할 몇 가지 까다로운 사항이 있다. 
첫째, 랜섬웨어가 실제로 데이터를 암호화하지 않았을 수 있다. 범죄자에게 돈을 보내기 전에 소위 스케어웨어(Scareware)가 아닌지 확인한다. 둘째, 범죄자에게 돈을 지불한다고 해서 파일을 다시 받을 수 있다는 보장이 없다. 때때로 범죄자는 몸값만 받고 도망가버리고 악성코드에 암호 해독 기능도 내장하지 않았을 수도 있다. 그러나 이런 악성코드는 수익을 창출하지 못할 것이므로 대부분의 경우는 몸값을 지불하면 암호화된 데이터를 풀 수 있다. 아버 네트웍스(Arbor Networks) 최고보안 기술자 게리 소크라이더는 데이터를 복구할 수 있는 확률을 약 65~70%로 추정한다.

시장을 휩쓴 대표 랜섬웨어들   

랜섬웨어는 1990년 대부터 기술적으로 사용되어 왔지만, 비트코인과 같은 추적할 수 없는 지불 방법이 나온 것은 지난 5년이다. 최악의 랜섬웨어 가운데 일부는 다음과 같다. 
 

• 2013년 크립토로커(CryptoLocker)는 최신 랜섬웨어 시대의 시작을 알리면서 최대 50만 대의 컴퓨터를 감염시켰다. 
• 테슬라크립트(TeslaCrypt)는 게임 파일을 목표로 삼았으며, 유포 기간동안 지속적인 발전을 보였다. 
• 심플로커(SimpleLocker)는 모바일 기기에 중점을 둔 최초의 광범위한 랜섬웨어 공격이었다. 
• 워너크라이(WannaCry)는 NSA가 개발한 후, 해커에게 도난당한 이터널블루(EnternalBlue)를 이용해 컴퓨터에서 컴퓨터로 자율적으로 확산됐다. 
• 낫페트야(NotPetya) 또한 이터널블루를 이용했으며, 우크라이나에 대한 러시아 주도의 사이버 공격의 일부일 가능성이 높다. 
• 로키(Locky)는 2016년 확산되기 시작했으며, 악명높은 은행 악성코드 드리덱스(Dridex)의 공격 방식과 유사하다. 변종인 오시리스(Osiris)는 피싱 캠페인을 통해 확산됐다. 
• 레터로커(Leatherlocker)는 2017년 부스터 앤 크리너(Booster & Cleaner)와 월페이퍼 블러 HD(Wallpaper Blur HD)라는 2개의 안드로이드 애플리케이션에서 처음 발견됐다. 파일을 암호화하는 대신, 홈 화면을 잠가 피해자가 데이터에 액세스하지 못하도록 했다.
• 2017년에 발견된 위시이(Wysiwye)는 웹에서 RDP(Remote Desktop Protocol) 서버를 검색한다. 그런 다음 RDP 자격 증명을 도용해 전체 네트워크에 확산시켰다. 
• 2016년 처음 등장한 케르베르(Cerber)는 그 해 7월에 20만 달러를 강탈함으로써 그 효과를 입증했다. 이 랜섬웨어는 네트워크를 감염시키기 위해 마이크로소프트 취약점을 이용했다.  
• 배드래빗(BadRabbit)은 2017년 동유럽과 아시아 지역 언론사 전반에 확산됐다. 
• 샘샘은 2015년부터 활동해 왔으며, 주로 의료 기관을 대상으로 했다. 
• 류크(Ryuk)는 2018년 처음 등장해 병원과 같은 취약한 공공기관과 기업에 대한 표적 공격에 사용됐다. 종종 트릭봇(TrickBot)과 같은 다른 악성코드와 함께 사용됐다. 
• 메이즈(Maze)는 피해자가 해독하기 위해 돈을 지불하지 않으면 훔친 데이터를 대중에게 공객하는 것으로 알려진 비교적 새로운 랜섬웨어 그룹이었다. 
• 로빈후드(RobinHood)는 2019년 미국 메릴랜드 주 볼티모어시를 감염시킨 또 다른 이터널블루 변형 랜섬웨어다. 
• 갠드크랩(GandCrab)은 가장 수익성이 높은 랜섬웨어로 알려져 있다. 이 랜섬웨어를 사이버 범죄자에게 판매한 개발자는 2019년 7월 기준으로 피해자에게 20억 달러 이상의 몸값을 요구했다. 
• 소디노키비(Sodinokibi)는 마이크로소프트 윈도우 시스템을 대상으로 구성 파일을 제외한 모든 파일을 암호화한다. 이는 갠드크랩과 관련이 있다. 
• 타노스(Thanos)는 2020년 1월에 발견된 최신 랜섬웨어다. 이 랜섬웨어는 서비스형 랜섬웨어로 판매되며, 대부분의 안티랜섬웨어 소프트웨어를 우회할 수 있는 리플레이스(RIPlace) 기술을 최초로 사용했다. 

이 랜섬웨어 목록은 점점 더 길어질 것이며, 앞서 설명한 방법을 통해 자신을 보호하자. editor@itworld.co.kr