IS 같은 랜섬웨어.. 어찌해야 되나?

최근 보안 업계에서 최고 이슈는 단연 ‘랜섬웨어’다. 정부는 물론 국내외 대부분의 보안회사들은 올해 보안 시장 전망에서 랜섬웨어의 주의를 요구했다. 보안 업계에 따르면 사용자들이 랜섬웨어에 한번 감염되면 해결 방법이 거의 없다.

랜섬웨어란 몸값을 뜻하는 ransom(랜섬)과 제품을 뜻하는 ware(웨어)의 합성어로 해커들이 다양한 경로로 컴퓨터에 몰래 악성코드를 설치, 사용자의 문서 및 중요 데이터를 암호화하여 파일을 인질로 붙잡고 돈을 요구한다. 만약 돈을 지불하지 않으면 해커가 해당 사용자의 데이터를 그대로 파기 시킨다. 

마치 IS(이슬람 국가) 무장단체에 인질로 한번 붙잡히고 몸 값이 지불되지 않으면 참수 당하는 것과 같은 이치다. 보안 전문가들은 시스템 및 백신을 최신 버전으로 유지하고 백업 등의 선제적 대응만으로 갈수록 진화 화는 랜섬웨어를 완벽히 막을 수는 없겠지만 현실적으로 이 방법 밖에 없다고 강조한다.

■ 랜섬웨어 변종 및 피해액 갈수록 증가

360시큐리티에 따르면 지난해 한 해 동안 전세계적으로 발생한 모바일 랜섬웨어로 인한 피해 규모가 약 8000만달러(한화 약 956억원)에 달한다. 이는 2014년 대비 6배 이상 증가한 수치다.

최근 랜섬웨어는 확산 방법 및 침입 기술 면에서 지속적으로 진화하고 있다. 특히 통신 방식과 대상 타깃을 더욱 더 은폐시키는 방향으로 나아가고 있다.

팔로알토, 시만텍, 포티넷, 맥아피 등 8개 글로벌 보안기업들의 정보공유 협력체인 ‘CTA’의 보고서에 따르면, 랜섬웨어는 해커들 입장에서 짧은 시간 내에 막대한 금전적 이득을 취할 수 있는 공격수단으로서 수익성이 매우 높다.

랜섬웨어는 크립토락터, 크립토월, 테슬라크립트, 비트크립트 등 다양한 변종들이 존재한다. 보안업계에 따르면 국내에서는 크립토락커(x86 컴퓨터 대상 트로이목마), 크립토월(감염시 사용자의 문서나 파일에 암호가 걸리는 랜섬웨어), 테슬라크립트(크립토락커와 크립토월을 조합)의 공격 시도가 많은 편이면 해외에서 비트크립트 및 코인볼트, 트롤데시 등이 큰 피해를 발생시키고 있다.

팔로알토에 따르면 해커들이 지난해에만 크립토월 3.0 버전으로 40만 6887번의 공격이 이뤄졌으며 3억 2500만 달러(한화 약 3700억원)의 수익을 낸 것으로 조사됐다 최근에는 윈도 운영체제뿐 아니라 맥 OS 및 안드로이드에도 치명적인 크립토월 4.0 버전이 발견됐다.

시만텍 윤광택 상무는 “랜섬웨어에 크립토월 등 다양한 계열이 있는데 백신업체들에서 관련 데이터를 수집해서 방비를 해도 해커들이 자꾸 변종을 만들어내고 트렌드가 바뀌어 상위 버전이라고 막기 힘들고 하위 버전이라고 막기 쉽다고 보기는 힘들다”고 말했다.

■ 시스템 버전 업데이트 및 데이터 백업 등 선제적 대응만이 최선책

일단 랜섬웨어는 감염되면 복구할 방법이 없다. 랜섬웨어 감염 피해를 예방할 수 있는 방법은 백신 설치 등 업데이트로 최소한의 방비를 해놓는 것이다. 국내외 다양한 벤더들의 백신은 랜섬웨어 탐지 기능을 기본적으로 탑재하고 있다.

실제 한 중소기업에서 근무하는 김 모씨(37)세는 “이메일에 온 첨부파일을 다운 받았다가 악성코드에 감염됐다”며 “결국 기존 PC에 있던 데이터들이 다 날아가고 운영체제를 다시 설치하게 됐다. 괜찮겠지 생각하고 PC에 백신을 설치 안했던 것이 큰 실수였다”고 말했다.  

물론 백신만으로도 랜섬웨어를 100% 막을 수 있는 보장은 없다. 랜섬웨어는 OS(운영체제), 특정 웹 브라우저 플러그인, 자바 및 플래시 등의 취약점을 찾아 유포되어 시스템의 최신버전 유지가 필요하다. 또한, 최후의 보루로 중요한 데이터의 경우 외부 저장소에 2중으로 백업하면 랜섬워어에 감염되었더라도 시스템을 다시 설치해 자료를 복구할 수 있다.

윤광택 상무는 “랜섬웨어는 해당 시스템에 들어가자마자 문서파일 및 이미지파일을 검색 후 RSA2048 방식으로 암호화 작업을 걸어 이 부분을 현재 컴퓨팅 파워로서는 이 것을 푸는 것을 거의 불가능하다고 보면 된다”며 “슈퍼컴퓨터로는 풀 수 있지만 이를 이용해 해독한다는 것은 비용 대비 효율이 떨어져 사용자 입장에서는 차라리 해커에게 돈을 주고 해결하는게 빠를 수 있다”고 설명했다.   

이어 윤광택 상무는 “기업들은 사내 보안관리자가 있어 회사 이메일 필터링도 있고 시스템 및 백신의 최선 버전을 유지하고 있지만 대부분의 개인 사용자들은 시스템 최신 버전 패치 및 백신 업데이트를 상대적으로 소홀히 해 해커들의 먹잇감이 되고 있다”고 덧붙였다. 

KISA(한국인터넷진흥원) 임진수 분석 1팀 팀장은 “현재 KISA는 “이메일로 유포되는 랜섬웨어의 경우 일반적으로 해외에서 발송된 이메일들이 대부분이라 외국에서 온 이메일들을 특히 주의해야된다”며 “기업 같은 경우 랜섬웨어에 감염되었더라도 보안관리자가 사내 공통 저장소 등을 통해 번지는 것을 방지하는데 개인 사용자의 경우는 랜섬웨어에 걸리면 해결할 방법이 없다. 현재 KISA는 랜섬웨어에 대비하기 위해 기업 및 보안회사들과 같이 공조, 정보를 공유하고 있고 랜섬웨어의 명령지인 C&C 서버 등을 차단하는 등의 노력을 하고 있다”고 말했다.


[출처 : http://www.ittoday.co.kr/news/articleView.html?idxno=67883]