세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
앞으로 많아질 일만 남은 랜섬웨어, 일반 대처 매뉴얼
  |  입력 : 2017-05-15 14:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어, 줄어들 일 없어...일반인들도 대처법 알고 있어야
가장 처음 해야 할 일은 네트워크서 분리...2차 공격 안 당하는 게 목표


[보안뉴스 문가용 기자] 워너크라이 사태가 모든 랜섬웨어 사건의 종결자가 되면 다행이겠지만, 아쉽게도 랜섬웨어 공격은 꾸준히 일어날 가능성이 높다. 지금은 역대급이라고 불리는 100여개 국가의 일부 시스템 정전 사태가, 2~3년 안에는 ‘귀여운 수준’으로 보일지도 모른다. 그러나 과거의 누군가가 아파본 덕분에 오늘의 내가 치료를 꿈꿀 수 있듯이, 재앙이 다가올 것이 분명한 시점에서의 이러한 홍역은 오히려 면역체계를 키운다. 워너크라이로 랜섬웨어가 전 국민의 관심을 받은 때에, 가장 일반적이고 상식적인 랜섬웨어 대처법을 나눠본다.

놀라셨죠? 잠깐만 앉아서 안내부터 받으세요[ⓒ iclickart]


1. 연결 해제
제일 먼저 해야 할 일은 감염된 컴퓨터나 기기를 네트워크에서 분리시키는 것이다. 유선과 무선 모두를 말한다. 와이파이, 블루투스 옵션도 다 끄고, 선도 다 뽑아둔다. USB나 외장 하드와 같은 스토리지 기기들도 전부 분리시킨다. 소중한 데이터가 별로 저장되어 있지 않다고 포맷시키거나 청소하는 사람들이 있는데, 아직은 아니다. 그 이유는 뒤에 더 상세히 설명하겠다.

2. 감염 확산 범위를 파악한다
시스템을 다 분리시켰으면 그 상태에서 감염이 얼마나 진행되었는지 점검해야 한다. 처음 감염된 기기가 네트워크의 어느 범위에까지 도달할 수 있는지 파악하라는 소리다. 1) 네트워크 내 어떤 드라이브나 폴더를 공유하고 있는지, 2) 네트워크 저장 장치 중 어떤 것과 연결되어 있는지, 3) 외장 하드가 플러그인 되어 있는지, 4)USB 중 해당 기기와 접속한 것이 있는지, 5) 클라우드 저장 장치를 사용 중이었는지만 조사해도 된다.

1)~5)까지를 점검해가며 감염 여부를 확인한다. 이는 매우 중요하다. 일단 클라우드 저장소를 확인하다보면 감염되지 않은 최신 데이터를 발견할 수도 있어 뜻하지 않은 복구를 진행할 수 있게 된다. 비슷하게 다른 로컬 저장소를 확인하다가 감염이 되지 않은 곳에서 중요 데이터들을 발견하는 사례도 종종 나온다. 또한 정확히 어떤 파일들이 복구 불가능하고, 그렇기에 앞으로 어떤 파일들도 추가로 백업해야겠다는 계획도 세울 수 있다. 무엇보다 최악의 경우 범인에게 돈을 내고 복호화 키를 받았을 때 모든 파일을 빠짐없이 복구시키려면 감염 범위를 정확히 알고 있어야 한다.

컴퓨터에 능숙한 사람이라면 레지스트리의 파일 목록을 보고 감염 범위를 파악할 수도 있다. 랜섬웨어가 감염 파일 목록을 직접 만드는 경우도 많다. 랜섬웨어 공격자도 어떤 파일을 감염시켰는지 알아야 피해자가 돈을 냈을 때 어떤 파일을 복호화시켜야 하는지 알 수 있기 때문이다. 그리고 이 파일은 보통 레지스트리 안에 있다. 랜섬웨어에 당해 암호화된 파일을 골라주는 솔루션이 시중에 판매되고 있으니, 이런 툴을 하나쯤 마련해두어도 괜찮다.

3. 어떤 랜섬웨어인가?
다음은 나를 공격한 랜섬웨어가 도대체 어떤 녀석인지를 파악하는 것이다. 돈 내라는 협박 편지에 공개되어 있을 수도 있고, 암호화된 파일의 확장자가 랜섬웨어의 이름인 경우도 있다. 약간의 구글링을 통해 이름 정도 알아보는 건 그리 어려운 일이 아니다.

물론 랜섬웨어라는 게 종류가 많다지만 기본적으로는 파일을 암호화한 후 어디어디로 돈을 보내라는 협박 편지를 사용자에게 내보내는 구조를 갖추고 있다. 그래도 랜섬웨어의 종류와 버전을 정확히 파악하는 게 중요한데, 조치를 취해가며 더 정확한 판단을 할 수 있기 때문이다. 심지어 이미 해결책이 나와 있는 랜섬웨어일 확률도 무시할 수 없다. 반대로 당신이 거의 최초 감염자라면 모든 방법을 빨리 포기하고 보안 전문 업체에게 신고하는 편이 나을 수도 있다. 그러면 적어도 시간을 아끼고 쓸데없는 지출을 막을 수 있다.

4. 내게 주어진 행동 범위를 파악하라
감염 확산을 중단시켰고, 피해 규모도 파악했으며, 랜섬웨어의 종류와 버전까지 알아냈다면 다음으로 취할 수 있는 행동은 크게 네 가지 중 하나다. 최선의 경우부터 최악의 경우의 순서대로 보면 다음과 같다. 1) 찾아낸 백업 파일을 통해 시스템을 복구시킨다. 2) 공개된 디크립터를 통해 암호화된 파일을 치료한다. 물론 이 확률은 그리 높지 않다. 3) 아무것도 하지 않고 데이터를 잃는다. 4) 범인에게 돈을 주고 복호화 키를 찾는다. 이 경우 100% 시스템이 복구된다는 보장은 없다.

이 판단을 내릴 때 가장 필요한 정보는 바로 범인들이 제시한 ‘마감일’이다. 그리고 그에 따라 돈을 낼지 말지를 결정해야 한다. 자연히 다음에 확인해야 할 것은 범인들이 요구하고 있는 금액이다. 즉, 얼마나 시간을 들일 수 있는지를 정확히 파악하고 최악의 경우 필요한 돈이 얼마인지를 알아, 그 안에서 움직이라는 것이다. 위 네 가지 ‘결정’에 대해서 좀 더 상세히 설명해보도록 하겠다.

5. 첫 번째 해결 시도 : 복구
랜섬웨어에 걸렸을 때 가장 먼저 드는 생각은 1) 포맷하자, 혹은 2) 돈을 내자, 정도로 좁혀진다. 의외로 복구에 대한 생각을 하지 않는 사람도 많은데, 위 4번에서 마감일을 확인했을 때 충분한 시간이 있다면 복구를 시도해보는 것도 나쁘지 않다. 물론 랜섬웨어를 파훼하라는 건 아니다. 암호화된 파일을 대체할 수 있는 뭔가가 있는지 끝까지 확인해보라는 것이다. 다음과 같은 절차를 밟을 수 있다.

5-1 : 자동이든 수동이든 백업이 되어 있을만한 곳을 찾아본다. 중요한 데이터를 언젠가 외장 하드나 USB에 담아두고 기억을 못하는 수도 있다. 그러니 기억에 의존하지 말고, 최대한 안전한 환경에서 보유하고 있는 모든 외장 하드와 USB를 점검해보라. 이메일 함 등에 의외의 백업 파일들이 담겨 있는 경우도 많다. 여기서 또 생각해야 할 것은 백업된 자료의 용량이다. 백업되어 있는 걸 찾아내는 것도 문제지만, 그걸 시스템 내로 옮겨와 가동시키는 것도 문제다. 용량에 따라 며칠 씩 걸릴 수도 있으며, 진행 중인 서비스를 멈춰야 할 수도 있다. 그러니 백업 자료를 찾아봄과 동시에 백업 계획을 세우는 것도 중요하다.

5-2 : 섀도 복사본이란 게 있다. 윈도우는 시스템 복구 시점을 생성할 때마다 파일들의 ‘스냅샷’이란 걸 만들어낸다. 윈도우 스냅샷(Windows Snapshots)이라는 기능인데, 이 스냅샷 파일들 중에 필요한 파일들이 있을 수도 있다. 스냅샷 파일들을 탐색하게 해주는 소프트웨어도 있으니 필요하다면 하나 장만하라. 물론 최신 랜섬웨어는 이 스냅샷들마저 지워가는 추세고, 스냅샷 파일 버전이 반드시 최신인 것은 아니라는 단점이 있지만, 그래도 한 번 점검해볼만 하다.

5-3 : 일부라도 복구를 했을 경우, 재차 공격을 막을 생각을 하는 게 보안의 핵심이다. 랜섬웨어에 한 번 당하면 더 절실히 깨닫게 되겠지만, 한 달에 한 번 백업하거나 유료 백신 설치하는 것만으로 컴퓨터가 안전해지지 않는다. 백업이 진행되는 동안, 몇 가지 계획을 세워야 하는데 그 예로는 다음과 같은 것들이 있다. 1) 공유나 보안 설정 사항 옵션은 최대한 ‘엄격하고 깐깐하게’ 설정한다. 2) 소프트웨어 업데이트는 자동으로 설정한다. 3) 자주 백업할 계획과 기기, 공간을 마련해두고, 해당 장치는 네트워크에서 분리해둔다.

6. 두 번째 해결 시도 : 복호화
랜섬웨어의 종류는 수없이 많고, 따라서 보안 전문가들에 의해 깨진 것들도 많다. 크립토월(CryptoWall)과 크립토락커(CryptoLocker)라는 랜섬웨어들의 경우 복호화 키가 공개되기도 했었다. 그러니 백업을 통한 복구가 불가능한 상황이라면 작은 희망이라도 가지고 복호화 방법을 알아보는 것을 추천한다.

그러려면 먼저 ‘나를 괴롭히는 랜섬웨어의 정체가 뭔가?’를 파악해야 한다. 하지만 운이 좋아봐야 랜섬웨어의 이름 정도나 아는 게 다일 것이다. 가끔 버전 숫자 같은 게 발견되기도 하는데, 랜섬웨어 제작자들은 혼란을 주기 위해 무작위 숫자를 부여하므로 큰 의미가 없다. 조금이라도 정보를 알아냈다면 복호화 프로그램이 존재하는지를 검색해야 한다. 네이버보다는 구글을 추천하며, decryptor나 unlocker 등의 키워드를 섞는 걸 권장한다.

중요한 건 검색을 통해 복호화 툴이 나왔을 때다. 이는 이중 덫일 가능성이 있다. 랜섬웨어 공격자들이 ‘이 피해자가 지금 어떻게 해서든 파일을 되찾고 싶구나’라는 걸 파악하기 위해 가짜 복호화 툴을 제공하기도 한다. 그러니 다운로드를 받기 전에 제공자가 누구인지 확인하는 작업이 필요하다. 괜히 데이터 값만 더 올라갈 수 있다.

7. 세 번째 해결 시도 : 아무 것도 할 수 없다
복구도 안 되고 복호화도 실패했다면, 남은 옵션 중 최고는 데이터를 포기하는 것이다. 이 단계까지 왔다면 아예 컴퓨터를 깨끗하게 청소할 생각을 하라. 시스템을 깨끗하게 지우고, OS 등을 새롭게 설치한 다음에 백신을 최대한 많이 설치해 확인에 또 확인을 거듭한다. 이때 중요한 건 암호화된 데이터 파일을 어디엔가 따로 담아두는 것이다. 지금 당장 복호화 방법이 없더라도 미래에 해당 랜섬웨어에 대한 해결책이 나올 수 있으니 기다려보기 위함이다. 홧김에 포맷을 진행하는 건 재차 공격에 또 당할 가능성을 열어두는 것이다.

8. 네 번째 해결 시도 : 적과의 대화
정말 추천하고 싶지 않은 방법이다. 하지만 절대 잃을 수 없는, 목숨보다 소중한 데이터라면 활용할 수밖에 없는 방법이기도 하다. 리스크가 없지 않다. 최근 들어 랜섬웨어 공격자들은 돈을 받기만 하고 해결은 안 해주고 있는 추세이기 때문이다. 또한 돈 맛을 본 이들은 더 과감한 투자를 해서 더 획기적인 공격방법을 들고 나온다. 그리고 당신이 돈을 낼만한 표적인 것 또한 학습했기에, 당신의 시스템을 다시 두드릴 가능성이 높다. 돈을 내기로 했더라도 확인해볼 것 몇 가지가 있으니, 다음과 같다.

8-1 : 범인이 지정해준 지불 방법을 확인해야 한다. 대부분 협박 편지에 기재되어 있으니 잘 읽어보면 대부분 금방 파악된다. 얼마나 돈을 내야 하는지, 어디다 내야 하는지, 언제까지 내야 하는지를 위주로 정보를 수집한다.

8-2 : 비트코인을 산다. 랜섬웨어는 100이면 100 비트코인으로 돈을 지불하라고 요구한다. 비트코인 거래소에 대해 충분히 알아보면 좋겠지만, 대부분 범인들은 빠듯한 마감일자를 주기 때문에 환전이 빠른 곳을 위주로 알아보는 게 도움이 된다. 가끔 비트코인 거래소에서 계정을 만들 때 은행계좌를 요구하는 곳이 있는데, 이런 곳은 ‘패스’하는 게 좋다.

8-3 : 토르 브라우저를 설치한다. 랜섬웨어 공격자들 중 토르로 소통할 것을 요구하는 경우가 꽤 많다. www.torproject.org로 가서 설치파일을 다운로드 받으면 된다. 일반 브라우저와 설치나 사용 방법에 있어서 유사하지만 동일하지는 않다. 가짜 다운로더도 많으니 반드시 토르프로젝트 공식 사이트에서만 받으라.

8-4 : 이제 돈을 진짜로 낼 일만 남았는데, 보통은 비트코인 지갑 주소만 있으면 송금이 가능하다. 하지만 범인들에 따라 토르로 특정 웹사이트를 방문토록 유도한 후 주소를 알려주는 경우도 있으니, 다크웹의 일부를 탐색할 각오도 해두라. 당신의 비트코인 지갑에서 범인의 지갑으로 송금이 완료될 때까지 약 3~40분 정도 걸린다.

8-5 : 범인이 돈을 확인하고 복호화 키를 건네준다면, 돈을 낸다는 옵션 중에서는 최고로 잘 풀린 경우가 되겠다. 복호화 키를 건네주는 데에 수시간에서 며칠이 걸릴 수도 있는데, 참을성 있게 기다리는 수밖에 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)