랜섬웨어에 걸리면 ‘외부 장치·네트워크 제거, PC 전원 켜둘 것’

[IT동아 한만혁 기자] 한국인터넷진흥원(KISA)이 과학기술정보통신부와 함께 ‘랜섬웨어(Ransomware) 대응 가이드라인’ 개정본을 발표했다. 이를 위해 KISA는 국내외에서 근래에 발생한 랜섬웨어 유형과 피해사례를 종합적으로 분석했다.

가이드라인에는 랜섬웨어 감염 예방 수칙과 랜섬웨어 감염 이후 대응 절차와 주의사항, 신고 방법 등의 내용을 담았다. 이번 개정본에는 기업을 위한 랜섬웨어 피해 예방 점검 사항도 함께 안내하고 있다.

KISA는 “랜섬웨어 감염을 인지 했을 때는 이미 중요 데이터가 암호화된 이후이기 때문에 적지 않은 피해가 발생할 수 있다”라고 지적하며 “가이드라인을 적극 활용해 랜섬웨어로 인한 이용자와 기업의 피해를 예방하길 바란다”고 전했다.

시스템·데이터 암호화 후 몸값 요구, 랜섬웨어

랜섬웨어는 몸값을 의미하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 사용 불가능한 상태로 바꾸거나 데이터를 암호화한 뒤 금전을 요구하는 악성 프로그램이다. 기존 바이러스나 악성 코드와 비슷하지만, 주요 파일을 사용할 수 없게 만드는 것이 가장 큰 차이점이다. 또한 공유 폴더나 클라우드 서버, USB, 외장하드 등으로 확산을 시도하기도 한다.

랜섬웨어는 주로 보안이 취약한 웹사이트나 유무선 네트워크, 이메일, SNS, 첨부파일, 단축 URL, 파일공유 사이트 등을 통해 감염된다. 특히 이메일의 경우 신뢰할 만한 기관이나 대상을 사칭하기도 하고 스팸과 구분하기 어려울 정도로 정교하다.

과거에는 홈페이지나 이메일을 통해 유포되었지만 요즘에는 불특정 다수를 감염시키는 웜 형태와 해킹을 통해 감염시키는 타깃형 공격으로 진화하는 추세다. 웜 형태는 운영체제나 네트워크 등 소프트웨어 취약점을 파고들며, 타깃형 공격은 보안 관리 수준이 취약한 틈을 타 서버에 침투한다.

랜섬웨어는 대부분 높은 수준의 암호화 방식을 사용하고 있어, 복구키가 없으면 사실상 복구가 어렵다. 이에 해커는 감염 이후 복구키를 제공한다며 가상자산 등 금전을 요구한다. 지정한 기간 내 요구사항을 들어주지 않으면 금액을 높이거나 시스템, 데이터를 삭제하기도 한다. 금전의 경우 익명성이 보장된 가상자산이나 네트워크를 이용하는 탓에 추적하기도 어렵다.

참고로 랜섬웨어는 대부분 윈도우 운영체제를 이용하지만, 최근에는 구글 안드로이드나 애플 맥OS에서도 감염 사례가 나오고 있다. 운영체제에 상관 없이 긴장감을 늦추지 말아야 한다는 말이다.

랜섬웨어 감염 예방 위한 수칙

KISA는 랜섬웨어 대응 가이드라인을 통해 랜섬웨어 감염 피해 예방을 위한 수칙을 제시했다. 주로 백업과 최신 버전 업데이트의 중요성을 강조하는 내용이다.

우선 중요 자료는 별도 매체에 정기적으로 백업해야 한다. 업무 관련 문서나 기밀문서, 이미지 등 중요 파일은 주기적으로 백업해야 한다. 중요도가 높은 파일의 경우 외부 저장장치에 한 번 더 백업해야 한다. 이때 별도 인증 절차가 필요한 보안 백업 소프트웨어를 설치해 외부에서 쉽게 접근하지 못하게 하는 것이 좋다.

출처가 불분명하거나 수상한 이메일과 메시지는 클릭하지 않는다. 또한 이들 메일과 메시지에 담겨 있는 오피스 프로그램이나 스크립트, 실행파일 등 첨부파일과 URL은 실행하지 않는 것이 좋다. 또한 불법 파일 공유 사이트 등 신뢰할 수 없는 곳에서는 파일을 다운로드하거나 실행하지 않는다.

모든 소프트웨어는 최신 버전으로 업데이트하는 것도 중요하다. 브라우저, 자바, 플래시 등 소프트웨어를 최신 버전으로 유지해야 보안 업데이트를 적용할 수 있다. 또한 사용하지 않는 불필요한 소프트웨어는 삭제해야 한다. KISA는 브라우저의 경우 인터넷 익스플로러보다는 마이크로소프트 엣지, 구글 크롬, 모질라 파이어폭스 등을 권하고 있다.

백신 등 보안 프로그램 역시 최신 버전을 설치하고 실시간 감시 기능을 항상 켜두어 보안 프로그램이 제 기능을 발휘하도록 설정한다. 또한 주기적으로 악성코드 검사를 진행하는 것이 좋다.

특히 기업의 경우 기업 내부 랜섬웨어 위협을 격리 및 제거하고 데이터복구, 시스템 정상 동작 복원 등 비즈니스 연속성 계획을 마련해야 한다. 또한 이들 연속성 계획에 대해 정기적인 테스트를 통해 미리 훈련하는 것이 좋다.

KISA는 이와 함께 기술적인 대비도 권하고 있다. 인터넷에서 다운로드하는 모든 데이터의 저장을 금지하는 기술적 방안을 강구하고, 랜섬웨어 감염을 최소화하기 위한 시스템 보호 환경 구축, 취약점 관리 및 패치, 실행 코드 제어, 웹 브라우저 트래픽 필터링, 이동식 매체 접근 통제, 스팸메일 차단 등의 대비책을 실행할 것을 권했다.

랜섬웨어에 감염 이후 대응 방법

랜섬웨어에 감염되면 평소에 문제 없이 열리던 문서, 사진, 동영상 등의 파일이 열리지 않고, 파일 이름과 확장자가 바뀌거나 파일 확장자 뒤에 특정 확장자가 추가된다. 그리고 바탕화면이 바뀌고 감염 알림과 금전을 요구하는 화면이 나타난다.

감염 증상이 확인된다면 우선 피해를 줄이기 위해 공유폴더, USB, 외장하드 등 PC에 연결된 모든 외부 저장장치를 제거해야 한다. 이들 저장장치에 접근해 데이터를 암호화할 수 있기 때문이다. 물론 네트워크도 차단해야 한다. 랜섬웨어는 그 특성상 네트워크를 통해 다른 PC나 서버까지 감염시킨다. 이때 PC 전원은 켜두는 것이 좋다. 경우에 따라 PC 부팅 영역까지 암호화해 재부팅이 불가능해질 수 있다.

이후에는 랜섬웨어 유형을 확인하고 백신 제조사를 통해 복구 툴이 있는지 확인한다. KISA 암호 이용 활성화 홈페이지나 노모어랜섬 홈페이지도 일부 랜섬웨어에 대한 복구 툴을 제공하니 함께 확인하는 것이 좋다. 단 모든 파일의 복구를 보장하는 것은 아니다.

참고로 감염된 파일과 시스템 역시 별도 저장장치에 백업하는 것이 좋다. 추후 복구 도구가 제공될 경우 랜섬웨어 유형과 감염된 데이터를 보관해야 복구 확률이 높아진다.

해커의 금전 요구에 대해서는, KISA는 비용을 지불하지 말고 관련 기관에 신고할 것을 권한다. 비용을 지불해도 복구키를 제공한다는 보장이 없고, 합법적인 거래가 아니기 때문에 법적으로 보호받을 수 없다는 이유다. 또한 돈을 지불한 피해자는 해커가 ‘쉬운 타깃’으로 인식해 또 다른 범죄행위의 표적으로 삼을 수 있다. 랜섬웨어 관련 신고는 KISA 보호나라나 경찰청 사이버범죄 신고시스템을 이용하면 된다. 이때 감염 알림창과 암호화된 파일을 캡처해 함께 제시하는 것이 좋다.

KISA가 이번에 발표한 랜섬웨어 대응 가이드라인 개정본은 KISA 홈페이지에서 다운로드 받을 수 있다. 홈페이지 접속 후 알림 마당, 보고서/가이드 메뉴로 이동하면 된다. KISA는 이와 함께 랜섬웨어 예방 수칙, 복구 방법을 간편하게 확인하고 신고까지 할 수 있는 ‘STOP랜섬웨어 대응 페이지’도 제공하고 있다.

글 / IT동아 한만혁 (mh@itdonga.com)