[주의] 파일 암호화 악성코드 마침내 국내 상륙... 구형 IE와 플래시 취약점 노려
[IT동아 강일용 기자] 사용자의 파일을 암호화한 후 암호를 풀고 싶으면 돈을 지급하라는 유형의 악성코드 '랜섬웨어'가 마침내 국내에 상륙했다. 랜섬웨어 가운데 가장 유명하고 악질적인 '크립토락커(Cryptolocker)'가 한국어 버전을 제작하고 한국의 웹 사이트와 사용자를 정조준한 것이다.
지난 19일부터 크립토락커의 한국어 버전이 '드라이브 바이 다운로드(Drive by Download)' 방식으로 국내 웹 사이트(클리앙으로 추정)에서 유포되기 시작했다. 드라이브 바이 다운로드란 웹 브라우저 또는 플러그인의 보안 취약점을 통해 악성코드가 사용자의 PC에 침투하는 형태다. 보안 취약점을 노리기 때문에 사용자가 별도의 프로그램을 설치하지 않아도 침투할 수 있는 것이 특징. 때문에 사용자들은 속수무책으로 당할 수밖에 없다.
크립토락커의 침투 방식은 구형 IE(인터넷 익스플로러)와 플래시 플레이어의 보안 취약점을 노리는 것으로 알려져 있다. 마이크로소프트와 어도비는 최신 보안 패치를 통해 크립토락커의 침투를 막았지만, 많은 국내 사용자가 구형 IE와 플래시 플레이어를 사용하는 만큼 보안 위협에 고스란히 직면한 상태다.
실제로 지난 20일 저녁부터 클리앙 등 국내 인터넷 커뮤니티 사이트는 크립토락커 때문에 큰 혼란에 빠진 상태다. 크립토락커에 감염돼 파일을 못쓰게 된 사용자들의 성토가 줄을 잇고 있다.
<크립토락커가 파일을 암호화한 후 돈을 요구하는 모습. 이번에 퍼진 한국어 버전 크립토락커는 이 부분이 한국어화 되어 있다. 출처:
포브스>
크립토락커는 먼저 웹 사이트의 서버를 감염시킨 후, 해당 웹 페이지에 접속해 플래시로 이뤄진 광고를 본 사용자의 PC에 침투한다. 그 다음 사용자의 파일을 암호화해 사용할 수 없게 만든 후 돈을 요구한다. IE 뿐만 아니라 플래시 플레이어의 보안 취약점도 노리는 만큼 윈도 뿐만 아니라 OS X도 감염될 수 있다.
크립토락커가 암호화하는 파일의 종류는 doc, xls, ppt, pdf, jpg, zip, rar 등 사용자가 중요 업무에 사용하는 파일 위주로 구성돼 있다. 크립토락커의 암호화는 2048비트로 구성돼 있기 때문에 한번 암호화된 파일을 복구하는 것은 사실상 불가능하다.
크립토락커는 비트코인을 이용해서 돈을 지불하면 암호화 해제키를 제공하겠다고 밝힌 상태다. 비트코인의 익명성을 활용해 사법 당국의 추적을 회피하고 있는 것. 그러나 이 돈을 지불하더라도 암호키를 받은 사용자는 거의 없는 것으로 알려져 있다.
이스트소프트 관계자는 "현재 바이러스 백신으로 한국어 버전 크립토락커 방어가 불가능한 것은 아니다. 대부분의 바이러스 백신이 휴리스틱 방식을 통해 의심스러운 파일을 차단하고 있다. 하지만 보안은 뚫으려는 쪽이 유리한 만큼 현재 사용자들의 보안이 많이 취약해진 상태인 것만은 사실"이라며, "일단 윈도, IE, 플래시 플레이어, 바이러스 백신을 최신 버전으로 업데이트하고, 새로운 크립토락커를 방어할 수 있는 업데이트가 제공되기 전까지 (기업과 관공서는) 인터넷 사용을 자제하는 편이 좋다"고 강조했다.
크립토락커 대처법
1. PC를 부팅하고 웹 브라우저를 실행하기 앞서 PC속 중요 파일을 모두 외장하드에 백업한다. 백업한 외장하드는 크립토락커에 대처할 수 있는 바이러스 백신 업데이트가 나오기 전까지 PC에 연결하지 않고 따로 보관한다.
2. 중요 문서가 저장되어 있는 PC는 인터넷 연결을 끊어야 한다. NAS를 사용하는 경우 크립토락커에 대처할 수 있는 바이러스 백신 업데이트가 나오기 전까지 PC와 연결을 끊어두는 편이 좋다.
3. 웹 브라우저(IE, 크롬, 파이어폭스)와 플래시 플레이어를 최신 버전으로 업데이트한다. 윈도 보안 업데이트도 모두 설치해야 한다.
4. 웹 브라우저 설정창에 들어가 플러그인을 사용하지 않겠다고 설정하거나, 애드블록 플러스 같이 플러그인을 차단해주는 프로그램을 설치한다.
5. 바이러스 백신을 최신 버전으로 업데이트하고, 업데이트 내용 중에 한국어 버전 크립토락커를 차단하는 기능이 있는지 확인한다. (현재 바이러스 백신으로도 크립토락커를 방어할 수는 있다. 대부분의 백신에 영문 버전 크립토락커를 차단하는 기능이 추가되어 있다. 하지만 한국어 버전 변종 크립토락커가 바이러스 백신을 피해 침투하는 경우가 종종 있는 만큼 조심해야 한다)
6. 웹이나 이메일에 첨부된 수상한 파일을 절대 내려받아 설치하지 않는다.
7. 크립토락커에 감염된 파일 가운데 일부는 보안업체 파이어아이가 제공하는 복호화 사이트(https://www.decryptcryptolocker.com/)를 이용하면 암호를 풀 수 있다. 다만, 모든 파일의 암호를 풀 수 있는 것은 아니니 크게 기대하지는 말 것.
<한국어 버전 크립토락커에 감염된 모습. 파일을 못 쓰게 만들고 노골적으로 돈을 요구한다>
글 / IT동아 강일용(zero@itdonga.com)