[FORZ] 무서운 랜섬웨어? 예방이 최고의 방법! 랜섬웨어 AtoZ

무서운 랜섬웨어? 예방이 최고의 방법! 랜섬웨어 AtoZ

---

안녕하세요, 포알즈 1기 강정윤입니다!

얼마 전, 독일의 한 병원 시스템이 랜섬웨어에 감염되는 사례가 있었습니다.

https://www.boannews.com/media/view.asp?idx=91282

랜섬웨어 사망 사건, 독일 병원에서 터져

보통 '랜섬웨어에 감염되었다'고 하면 중요한 정보들이 들어있는 파일,

추억이 담긴 사진들에 대한 걱정이 앞서기 마련이죠.

그런데 이번엔 '랜섬웨어로 발생한 첫 사망 사건'이라는 큰 댓가를 치뤄야 했습니다.

원래 대학교의 시스템을 공격할 예정이었지만, 실수로 대학 병원 시스템을 공격하게 되었고

뒤늦게 자신이 공격 대상을 잘못 설정했다는 것을 안 악성 해커가 랜섬 웨어 복호화 키를 제공했지만

사태는 이미 늦어버려 위급한 환자의 치료가 어려웠던 것입니다.

 

실제로 랜섬웨어 공격 수법은 점점 더 지능적으로 변해가고 그 피해도 커지고 있습니다.

또한 시시때때로 변하는 랜섬웨어의 트렌드는 시대상을 반영하므로

요즘에는 코로나 사태를 틈탄 악성 해커들의 공격 대상이 의료계를 향하고 있어, 파급력이 점점 무서워지는 추세입니다.

그래서 오늘은, 간단한 문답 형식으로 랜섬웨어에 대한 궁금증을 풀어보려 합니다!

랜섬웨어… 랜섬웨어… 말은 많이 들어봤는데, 그래서 랜섬웨어가 정확히 뭔가요?

랜섬웨어는 Ransom과 Software의 합성어로, 컴퓨터 시스템 또는 디바이스를 암호화하는 악성 소프트웨어의 한 유형입니다.

랜섬웨어는 감염 여부를 쉽게 파악할 수 있는데요! 감염이 된후부터는 파일이 모두 암호화되어 접근이 어려워집니다.

접근을 시도하려면 암호화된 시스템을 복호화 해야하는데, 보통 이 과정에서 거액의 돈을 요구합니다.

개인이 그 돈을 구하기 쉽지 않을 뿐 더러, 금전 거래는 비트코인과 같은 전자 결제 방식으로 이루어지기 때문에

공격자를 추적하기도, 식별하기도 어려운 것이 실정입니다.

또 돈을 주었다고 해서 모든 공격자가 복호화 키를 제공하는 것도 아니라서 매우 골치아픈 상황이 벌어지기 십상입니다.

그렇게 무서운 랜섬웨어, 랜섬웨어는 어떻게 걸리나요? 어떻게 예방해야 할까요?

가장 흔한 랜섬웨어 감염 경로는 이메일입니다.

주로 발신자가 확실치 않은 이메일의 첨부파일을 실행하거나, 첨부된 URL을 클릭했을 때 감염될 수 있습니다.

또 토렌트 등 불법 파일 공유 사이트나 배포자가 정확하지 않은 '알 수 없는 앱' 등도 감염 경로 중 하나입니다.

위에 언급한 것처럼 랜섬웨어도 악성 소프트웨어 중 하나이기 때문에

랜섬웨어를 방지하는 가장 편리하고 확실한 방법은 백신 프로그램 사용과 지속적인 최신 패치입니다.

그렇다고 백신이 랜섬웨어를 막을 수 있는 완벽한 치료제라는 것은 아닙니다!

여느 사이버 범죄가 그렇듯, 빠른 흐름으로 바뀌는 수법을 모든 백신이 잡아줄 수는 없기 때문에

파일을 다운로드 받을 때 경로가 확실한지 확인하고, 의심되는 이메일은 클릭하지 않도록 하는 자세가 가장 중요합니다.

또 중요한 파일은 지속적으로 백업해두는 것이 좋습니다.

​

한국랜섬웨어침해대응센터에서는 "RanSim"이라는 이름의 랜섬웨어 에뮬레이터를 제공하여

랜섬웨어에 감염되었다는 시나리오 아래 어떤 부분이 취약한지 직접 확인하실 수도 있습니다!

 

한국랜섬웨어침해대응센터

RanSim이란 랜섬웨어 감염에 대하여 당신의 네트워크는 얼마나 취약합니까? 해커들은 탐지를 피하기 위해 끊임없이 랜섬웨어의 새로운 버전을 개발하고 있습니다. KnowBe4 의 랜섬웨어 시뮬레이터인 "RanSim" 으로 PC의 네트워크 상태를 미리 점검하여 랜섬웨어에 대비할 수 있습니다. RanSim은 10개의 각기 다른 랜섬웨어 감염을 시뮬레이션하고, 2개의 정상적인 파일을 실행한 결과로 정상적인 컴퓨터 사용에는 방해 받지 않으면서 감염에는 얼마나 취약한지를 보여줍니다. RanSim 의 동작원리 • ...

www.rancert.com

제 PC가 랜섬웨어에 걸린 것 같습니다. 이제 어쩌죠?

PC가 랜섬웨어에 감염되었다면 가장 먼저 '외부와의 연결'을 끊으셔야 해요.

네트워크, 해당 시스템과 연결된 클라우드 공유 폴더나 USB, 외장 하드 등이 이에 속합니다.

연결되어 있는 시스템에 접근하여 이전에 백업해둔 파일까지 랜섬웨어가 퍼질 수 있으므로 네트워크 연결도 해제하고 USB도 빼어두세요!

또 전원을 끄지 않는 것도 중요합니다! 감염 사실에 놀라 전원을 껐다가는 모든 파일이 삭제되거나 재부팅이 어려울 수도 있습니다.

​

이후에는 내가 무슨 랜섬웨어에 걸렸는지 특정해야 합니다.

랜섬웨어 종류에 따라 추가적으로 대응해야 하는 부분이 다르고

PC 복구 가능 여부도 일차적으로 추측할 수 있기 때문입니다.

​

대표적으로 'Malwarehunterteam'이 제공하는 ID Ransomware라는 사이트가 있습니다.

모든 랜섬웨어를 식별할 수 있는 것은 아니지만 대부분이 등록되어 있답니다!

 

https://id-ransomware.malwarehunterteam.com/

ID Ransomware

[ID Ransomware]

또 금전 거래를 요구하는 해커에게 돈을 내어주지 마시고,

신뢰하는 업체에서 제공하는 랜섬웨어 복구 툴을 사용하시는 것이 가장 좋습니다.

랜섬웨어가 걸린 PC도 디지털 포렌식이 가능한가요?

대답은 '일부 가능할 수도 있다'입니다.

다소 애매한 대답이지만 역시 랜섬웨어에는 수많은 종류가 있고, 해커들은 생각보다 다양한 수법을 알고 있습니다.

따라서 내 PC가 어떤 유형의 랜섬웨어에 감염되었는지, 암호화된 범위는 어떤지에 따라 다르다고 할 수 있습니다.

어느 종류는 공격자가 복호화 방법을 제시한 경우도, 보안 전문가들이 복구 툴을 제공하는 경우도 있습니다!

이런 경우에는 복구를 통해 PC를 성공적으로 되돌려놓고, 원하는 작업을 진행하면 됩니다.

​

그렇지 않은 경우에는 어떨까요?

물론 100% 복구가 된 상태가 아니라고 하더라도 디지털 포렌식의 증거 수집/분석에 필요한 부분이

암호화/훼손되지 않은 운 좋은 경우라면 역시 큰 차질없이 진행될 수 있답니다.

하지만 대부분의 랜섬웨어는 PC의 모든 파일을 대상으로 진행하며,

복구 프로그램을 사용하더라도 감염 전 완전한 상태로 복구하기에는 어려움이 따르므로

역시 감염되지 않도록 예방하는 것이 최선의 방법이라고 할 수 있겠습니다.

​

​