본문 바로가기

포트폴리오

랜섬웨어의 제반 문제와 해결방안에 대한 소고

728x90
반응형
SMALL

▲ 랜섬웨어 랜섬웨어의 정의 사진ⓒ KISA

충암고등학교 3학년 김재형

Ⅰ. 일반인들도 쉽게 알 수 있는 랜섬웨어의 정의와 소개

1. 랜섬웨어의 정의

  랜섬웨어는 컴퓨터를 감염시켜서 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다. 랜섬웨어의 어원은 몸값(Ransom)과 소프트웨어(Software)의 합성어이다. 컴퓨터에 저장해놓았던 수업자료나 동영상 파일, 음원 파일 등으로부터의 접근이 제한되기 때문에 이 랜섬웨어로부터 복구를 하기 위해서는 그 랜섬웨어를 개발한 사람이나 해커에게 큰 돈을 지불할 것을 강요받게 된다.

  최초의 랜섬웨어는 1989년 조셉 팝(Joseph Popp)이 작성한 AIDS이다. 이것은 대칭형 암호방식을 사용하는 형태로 만들어졌으며 1996년 아담 영과 모티 융에 의해 공개키 암호방식을 사용하는 형태로 진화하게 되었다. 제작자들도 처음에는 복호화가 가능한 RSA 알고리즘을 이용하여 암호화를 했지만, 많은 복구 및 복원 업체들이 솔루션을 만들어서 대항하는 것이 이어지자 단방향 암호화로 랜섬웨어를 제작하기 시작했다. 2013년 금품 지불을 위해 비트코인 디지털 통화를 사용하는 CryptoLocker가 출현하고, 2014년 Synology의 NAS를 대상으로 하는 SynoLocker등의 전파로 랜섬웨어에 의한 피해가 급증하게 되었다. 2012년 이후 출현한 주요 랜섬웨어로는 Reveton, CryptoLocker, TorrentLocker, Cryptowall등이 있으며, 보안 소프트웨어 기업 McAfee의 보고에 따르면 2013년 1사분기에 발견한 랜섬웨어의 수는 25만개 이상으로 2012년 1사분기에 비해 2배 이상 증가하였다.

2. 랜섬웨어의 작동원리

  랜섬웨어의 작동은 크게 네 단계로 나누어볼 수 있다. 첫째는 공격 대상 파일 검색이다. 둘째는 파일 암호화인데, 여기에는 고정키 암호화와 다이나믹키 암호화를 통해 암호화키를 생성하고 암호화키를 서버로 전달하는 것이 있다. 셋째는 파일 이동이다. 마지막 넷째는 감염 안내 및 복구 방법 메시지 출력이다.

  랜섬웨어는 쉽게 말하면 암호화 알고리즘을 이용하는 것이다. 파일 데이터에 암호화 알고리즘을 이용하여 암호화함으로써 사용할 수 없도록 하는 것이 주요 골자이다. 암호화 방식에는 단방향과 양방향 방식이 있는데, 단방향 암호화는 한 번 암호화하면 다시 복호화가 불가능하도록 만든 것인 반면, 양방향 암호화는 암호화를 한 후에 복호화가 가능한 것을 의미한다.

  최근에는 단순히 홈페이지를 방문하기만 해도 랜섬웨어에 감염되기도 하는데, 일명 드라이브 바이 다운로드 기법을 이용하는 것이다. 드라이브 바이 다운로드는 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨기고, 이 악성코드를 사용자가 자신도 모르게 내려받아 실행해 감염되는 방식이 그것이다.

 

3. 랜섬웨어의 피해사례

  랜섬웨어의 감염시 주요 증상은 시스템에 저장된 파일이 열리지 않고, CPU와 램 사용량이 급격히 증가하며, 백신프로그램이 강제로 종료되거나 중지 또는 오류가 지속적으로 발생하는 것이다. 뿐만 아니라 파일들의 확장자명이 변경되어 hwp로 저장한 파일이 hwp.abc나 adfdw등과 같이 이상한 확장자명으로 변경되게 된다. 확장자가 바뀌게 되면 우리가 아는 것처럼 파일이 열리지 않게 되며 사용자가 다시 원상태로 돌릴 수 없게 된다. 또한, 어떤 랜섬웨어는 윈도우 복원시점을 제거해버리기도 한다. 랜섬웨어의 주요 감염경로는 신뢰할 수 없는 사이트나 스팸메일, SNS 서비스, 광고배너, P2P 사이트 등이다.

  2018년 3월 3일 신고된 사례에 따르면 어린이집내에 PC가 전부 랜섬웨어에 감염되었고, 꽂혀져있던 외장하드와 USB까지 모두 랜섬웨어에 감염되었다고 한다. 이 랜섬웨어는 Magniber(.wsqwbcyyh)확장자를 .wsqwbcyyh로 변조시키고 각 폴더에 READ_ME.txt 랜섬노트를 생성하는 것이었다. 랜섬웨어가 요구하는 비용은 0.2BTC로 2018년 3월 3일 기준 한화 약 250만원 가량이었다. 신고자의 제보에 따르면 어린이집에서 낮잠시간에 아이들을 재우고 컴퓨터로 문서작업을 하던 중에 이상한 메모장 파일이 자꾸 떠서 그냥 창닫기를 누르고 업무를 계속 보고 있던 와중에 아이들 사진을 첨부하려고 외장하드를 확인했는데 전부 다 보이지 않고, 원래 붙어있어야 할 확장자명 뒤에 뭐가 더 붙어있었다고 한다. 그래서 처음에는 이게 일시적인 현상인줄 알고 컴퓨터를 껐다가 다시 켜보았는데 여전히 동일한 상태여서 검색을 해보니 랜섬웨어에 감염되었다고 해서 랜섬웨어침해대응센터에 문의했지만 복구툴이 없어서 복원툴을 기다리는 수밖에 없었고 당장 급한 파일이나 문서 복원등을 원한다면 해커에게 비용을 지불하는 수밖에 없다고 안내를 받았다고 한다. 이처럼 교육기관뿐만 아니라 여타 사회적으로 큰 영향을 미치는 단체의 컴퓨터나 메모리 저장장치가 랜섬웨어에 감염될 경우 결국 피해를 입게 되는 것은 우리들이다.

 

Ⅱ. 일반인들이 랜섬웨어를 막기 힘든 이유

1. 다양한 경로로 침투하는 랜섬웨어로 인한 피해로부터 PC를 초기화하는 것 외에는 복구방법이 마땅치 않은 문제

  랜섬웨어는 주로 이메일 첨부파일이나 웹페이지 접속을 통해 들어오기도 하고, 확인되지 않은 프로그램이나 파일을 내려받기 하는 과정에서 들어오기도 한다. 랜섬웨어를 만들어 불법적인 경로로 돈을 벌려는 해커들의 근거지는 주로 해외에 있는 까닭에 정체가 드러나기 쉽지 않으며, 피해를 당했다고 하더라도 범인을 잡는 것이 사실상 불가능에 가깝다.

  암호이론이 발전하고 최신 알고리즘이 자꾸 개발되면서 랜섬웨어로 인해 피해를 입은 PC를 암호화한 사람 외에는 복호화하는 것이 점점 어려워지고 있다. 랜섬웨어로 인해 피해를 입은 사람이 해커가 요구하는 돈을 지불하기 싫다면 현실적으로 선택할 수 있는 방법은 초기화일 것이다.

  랜섬웨어는 이메일로 감염되는 경우 이력서나 카드 영수증 등 확인을 하게끔 만드는 제목으로 하여 전송되기 때문에 일반인들 입장에서는 쉽게 찾아내기가 어렵다. 마치 알아야 하는 정보인 것처럼, 마치 아는 사람인 것처럼 쓰여진 이메일 속에 랜섬웨어가 숨어 들어오기 때문에 일반인들 입장에서는 초기 대응이 어려운 것이 현실이다. 파일공유 서비스인 토렌트나 웹하드 등의 P2P 사이트를 통해서 동영상 파일을 주고받을 때도 랜섬웨어에 감염될 가능성이 높다. 최근에는 페이스북이나 링크드인과 같은 사회관계망 서비스(SNS)를 이용해서도 사용자의 PC를 감염시키는 경우가 있기 때문에 SNS에 올라온 단축 URL이나 사진을 쉽게 클릭할 수 있는 대다수의 SNS 사용자들은 랜섬웨어 노출에 취약하다고 할 수 있다.

 

2. 랜섬웨어에 한 번 감염되면 또 다시 감염될 수 있는 취약점

  랜섬웨어에 감염되었다는 것은 PC에 분명한 취약점이 있기 때문에 감염이 된 것이라 할 수 있다. 이를 단순히 초기화하거나 랜섬웨어 개발자에게 돈을 주고 해결하게 되면 다시 또 같은 방법으로 감염이 될 가능성이 높다. 랜섬웨어의 근본적인 침투 원인을 파악하고 이를 제거하거나 예방하지 않으면, 계속해서 랜섬웨어로부터 피해를 입을 가능성이 높아진다.

  그러나, 일반인들 입장에서 랜섬웨어의 정확한 감염경로를 파악하여 해결하는 것은 쉽지 않다. 앞서 언급했던 바와 같이 클릭할 수밖에 없게끔 한다거나 어쩔 수 없이 보게끔 만들어버리는 경우를 통한 경로로 침투하기 때문에 한 번 랜섬웨어에 감염된 경우 계속해서 같은 이유로 랜섬웨어에 감염될 위험이 높아지게 된다.

Ⅲ. 공공기관에서의 대국민 랜섬웨어 대응방안의 미배포 및 비체계화

  현재 경찰청에서는 PC가 랜섬웨어에 감염되었을 경우 다음과 같은 조치를 취할 것을 권고하고 있다. 첫째, 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결을 차단할 것. 둘째, 인터넷선과 PC 전원을 차단할 것. 셋째, 증거 보존 상태에서 신속하게 경찰에 신고할 것. 넷째, 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료를 요청할 것. 다섯째, 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치를 한 후에 사용할 것. 여섯째, 평소 해킹 상담, 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr, 전화 118)에서 서비스를 제공하고 있으니 이용할 것. 하지만, 이러한 대국민 랜섬웨어 대응방안 권고사항은 매우 허술하고 체계화되어있지 않다고 할 수 있다. 어떻게 국민들이 랜섬웨어로 피해를 입고 있는데 정부가 단순히 믿을만한 정보 보안업체를 통해 치료를 요청하라고 하는 무책임한 말을 할 수 있는가를 생각해본다면 위의 대응 권고사항이 얼마나 터무니없는 것인지 이해할 수 있을 것이다. 

  한국인터넷진흥원에서는 랜섬웨어 복구절차를 백업파일이 있는 경우 감염파일을 복구하고, 복구 도구가 있는 경우 복구 툴을 다운로드 하고, 백업파일이나 복구 도구가 없는 경우 비용지불이나 복구하지 않고 롤백할 것을 언급하면서 재발 방지를 위한 조치방안을 이행할 것을 촉구하고 있다. 랜섬웨어 복호화 비용을 불가피하게 지불하게 될 경우 고려해야 할 사항으로 일부 개인이나 기업의 경우에 비용을 지불한 후에도 암호 해독키를 제공받지 못하는 등의 경우가 발생하고, 또 다시 공격대상이 될 수 있으며, 제시한 복호화 비용보다 더 많은 금액을 요구할 수 있기 때문에 주의해야 한다는 것을 언급하고 있다. 또한, 복호화가 어려운 경우에는 하드디스크 원본을 보존하여 추후 복구 툴이 개발되거나 암호화키가 공개될 경우에 복호화를 진행하고, 복호화가 필요 없는 경우에는 하드디스크 초기화 후 운영체제 및 소프트웨어 등의 최신 보안업데이트를 할 것을 권장하고 있다. 그러나 이 또한 실제 랜섬웨어에 감염된 일반인들에게 실효적 효과나 대응방안을 제시하는 것은 아니다. PC 사용자의 입장에서는 랜섬웨어에 감염이 되지 않는 것이 중요하고, 랜섬웨어에 불가피하게 감염이 되었다면 무조건 나의 원본 파일을 복구하는 것이 가장 핵심적 고려사항이기 때문이다.

Ⅳ. 랜섬웨어 피해로부터의 정보 보호 방안 마련 대책

  랜섬웨어 초기대응을 위해 일반 사용자가 할 수 있는 것은 무엇이 있을까? 가장 최고의 랜섬웨어 대응은 준비가 답이다. 랜섬웨어가 지능적으로 업데이트가 되고 있지만 그에 따라 국내/외 백신업체나 국가 기관에서 복구 프로그램이나 초기 대응 프로그램을 만들고 있기 때문이다.

  한국 인터넷 진흥원(KISA)는 랜섬웨어 감염을 최소화하는 예방법으로 ‘시스템 보호환경 구축, 취약점 관리 및 패치, 실행코드 제어, 웹 브라우저 트래픽 필터링, 이동식 매체 접근 통제, 스팸메일 차단’ 등을 제시하였다. 최근 지속 업데이트로 강력해진 gand crab(갠드크랩)과 정부 기관 사칭 메일 등 국내를 대상으로 신종/변종 랜섬웨어들이 만들어 지고 기승을 부리고 있는 상황에서 대국민적인 정부의 대응 강화가 필요하다고 생각한다. 그 예로 일반인이나 기업체에서 데스크 탑이나 노트북을 구매할 때 랜섬웨어 초기 대응 툴이나 랜섬웨어 대응 기능이 있는 백신사와 계약을 하여 백신 탑재가 되어있는 PC만 KC 인증을 받게 하는 방법과 기업을 대상으로 ISMS-P 인증 세부 점검 항목에 랜섬웨어 대응에 관한 항목을 추가 하는 방법을 생각해 볼 수 있다. 우리나라의 올해 주요 뉴스에는 기업체를 대상으로 한 표적 공격에 랜섬웨어가 점점 활용되고 있다는 소식이 많다. 기업을 대상으로 한 삼삼(sam sam) 랜섬웨어의 등장 이후 많은 랜섬웨어 공격자들은 큰 조직을 노려 더 큰 수익을 노린다는 영감을 받았기 때문이다. 기업들에게 있어 랜섬웨어 피해는 복구 비용보다 공격자에게 비용을 지불하는게 저렴할 수도 있어 실제로 미국 잭슨카운티와 조지아 주는 류크 랜섬웨어 공격자들에게 돈을 지급하는 쪽을 택한 사례가 있다.

  즉 기업체에서 랜섬웨어 피해가 발생 했을 경우 복호화에 공격자에게 돈을 지급하거나 전문 복구 업체를 통한 복구를 하는 선택을 신중하게 해야 한다. 한국 정보 통신 기술 협회(TTA)의 정보 시스템 백업 지침(TTAS.KO-10.0253)를 ISMS-P 점검 항목에 융합하여 랜섬웨어 초기 대응 점검 항목을 만들거나 랜섬웨어 피해 후의 대응에 대한 가이드라인 확인 및 임직원 교육 의무화 항목을 마련 한다면 국내 기업의 랜섬웨어 대응의 수준이 올라가게 될 것이다.

▲ ISMS-P ISMS-P 로고입니다ⓒ KISA

일반 사용자의 경우는 요즘 기승하고 있는 금융감독원 사칭 이메일, 경찰서 사칭 이메일 등을 열어보지 않는 방법과 사용하고 있는 운영체제의 최신 보안 업데이트, Windows 유저의 경우 지원이 끝난 Windows 버전에서 최신 버전의 Windows 구매 및 업그레이드를 하는 것도 예방 방법이다. 또한 해외 웹 하드, P2P 파일 공유 사이트, 토렌트 공유 사이트 등에서 파일 다운로드 및 실행을 자제하는 것, 신뢰할 수 있는 유명 백신, 안티 익스플로잇 도구 등을 다운로드 하고 사용하고 있는 백신을 최신으로 업데이트 하는 것 등도 역시 일반 사용자가 쉽게 할 수 있는 랜섬웨어 대응이다. 추가적으로 지인에게서 파일을 받거나 USB 사용시 USB 사용 전이나 USB에서 파일을 열어보기 전에 백신 검사를 해보는 것도 매우 중요하다. 

  경찰청 사이버 안전국에서는 노모어 랜섬 사이트 및 복구 프로그램 이용 매뉴얼을 이미 배포하였다. 노모어 랜섬 프로젝트는 다국적 민/관 합동 프로젝트로 카스퍼스키 랩에서 만든 것인데, 우리나라는 2017년 7월에 공공기관과 민간 보안 업체가 가입하였다. 하지만 이 매뉴얼은 기존의 영문 매뉴얼을 번역한 것으로 수시로 업데이트 되는 사이트에 내용하고 다를 수도 있다는 한계가 있다. 이는 큰 문제로 수시로 업데이트되는 랜섬웨어에 대응하는 사이트이기에 국가 기관에서의 사이트 홍보와 매뉴얼 수시 업데이트 및 배포가 중요하다고 생각한다.

반응형
LIST