랜섬웨어 대공습, 내 파일을 지켜라

강일용 zero@itdonga.com

[IT동아 강일용 기자]

"서울의 한 세무법인에 난리가 났다. 2년 동안 작업해온 세무 관련 자료가 랜섬웨어에 당해 암호화됐기 때문. 못해도 수억 원의 가치를 담은 정보가 들어있는 이 파일을 복구하기 위해 갖은 애를 써봤지만 결국 복구하는데 실패했다. 랜섬웨어를 제작한 해커에게 거액의 돈을 지불했지만 복호화(암호해제)키는 결국 보내주지 않았다. 랜섬웨어가 침입한 경로를 추적해보니 한 직원이 사무실 PC로 '무료 드라마' 사이트에 접속했다가 감염된 것으로 파악됐다. 먼저 직원의 PC를 감염시킨 후 네트워크를 통해 사무실 전체 PC로 번져나간 것. 결국 그 직원은 책임을 지고 사직서를 제출했고, 해당 세무법인은 현재 전 직원이 달려들어 해당 자료를 복구하고 있는 상태다."

기자가 쓴 소설이 아니다. 익명으로 적었을 뿐 얼마 전에 실제로 있었던 일이다. 그야말로 '랜섬웨어(Ransomware)' 대란이다. PC속 파일을 인질로 잡고 돈을 요구하는 랜섬웨어가 지난 4월 국내에 상륙한 후 빠른 속도로 확산되고 있다. 한국랜섬웨어침해대응센터는 지난 11월 PC용 랜섬웨어로 인해 피해를 입은 사례가 927건에 달한다고 밝혔다. 지난 3월부터 9월까지 월평균 피해 건수가 85건이었으니 불과 한 달 만에 11배나 피해가 늘어난 것이다.

랜섬웨어
랜섬웨어
<파일을 암호화한 후 돈을 요구하는 랜섬웨어가 기승을 부리고 있다>

랜섬웨어는 인질의 몸값을 뜻하는 랜섬(Ransom)과 악성코드를 뜻하는 멀웨어(Malware)를 합성한 신조어다. 말 그대로 PC 속 파일을 사용할 수 없게 암호화한 후, 파일을 다시 이용하고 싶으면 해커에게 비용을 지불하라는 악성코드다. 기존 악성코드는 해커 자신의 능력 과시 또는 재미 삼아 만들어진 것이 많은 반면, 랜섬웨어는 처음부터 사용자의 돈을 노리고 제작된다는 점에서 매우 악질이다.

언론만 신나게 떠들고 정작 사용자는 쉽게 체감할 수 없는 다른 보안위협과 달리 랜섬웨어는 이제 우리 코앞에 닥친 현실이다. 해외에서 난리고, 국내에서도 난리인 랜섬웨어에 어떻게 대처해야 할까? 내 PC 속 파일을 지키는 방법에 대해 자세히 알아보자.

1. 일단 무조건 백업

랜섬웨어에 대처하는 가장 좋은 방법은 중요한 내용이 담긴 파일을 모두 백업하는 것이다.

랜섬웨어는 가치있는 파일 대부분을 암호화한다. 좀 더 정확히 말하자면 사용자의 노력이 들어간 모든 생산성 관련 파일을 노린다. 현재 시중의 랜섬웨어는 50여종의 파일을 암호화하는 것으로 알려진 상태다. doc, xls, ppt, txt, pdf 같은 문서 파일부터 avi, mp4, mov 같은 동영상 파일까지 종류를 가리지 않는다. jpg, png, bmp, psd, ai 같은 이미지 파일도 암호화한다. zip, rar 같은 압축 파일도 랜섬웨어의 마수를 피해갈 수 없다. 올해 초 국내에 상륙한 랜섬웨어는 hwp 같이 국내에서 통용되는 파일까지 암호화하기 시작했다.

때문에 사용자는 언제나 자신의 작업 결과물과 사무용 문서를 주기적으로 백업해야 한다. 백업해두는 공간은 무엇이든 관계 없다. 외장하드나 USB 메모리도 좋고, 클라우드 저장 서비스도 좋다. 중요한 것은 습관이다. 1~2주에 한 번씩 문서, 동영상, 이미지 등 작업 결과물을 PC 말고 별도의 저장장치에 백업하는 습관을 들여야 한다. 이렇게 파일을 백업해두는 습관을 들이면 랜섬웨어에 당하더라도 피해를 최소화할 수 있다. 설령 백업해두는 습관을 들이지 않았더라도, 지금 이 기사를 보는 즉시 파일을 백업해두길 바란다.

2. 구형 인터넷 익스플로러를 쓰지 말 것

단도직입적으로 말하겠다. 현재 인터넷 익스플로러(IE) 10 이하 버전을 사용 중이라면 즉시 사용을 중지하고 IE 11, 크롬 47, 파이어폭스 43 등 최신 웹 브라우저로 교체해야 한다.

랜섬웨어가 PC에 침투하기 위해 가장 자주 사용하는 방법이 바로 '드라이브 바이 다운로드(Drive by Download)'다. 드라이브 바이 다운로드란 웹 브라우저 또는 플러그인의 보안 취약점을 통해 악성코드가 사용자의 PC에 침투하는 방식이다. 보안 취약점을 노리기 때문에 사용자가 exe, apk 같은 별도의 프로그램을 설치하지 않아도 침투할 수 있는 것이 특징. 때문에 사용자들은 속수무책으로 당할 수밖에 없다.

구형 IE는 지원이 중단되었거나, 곧 중단될 예정이다. 때문에 보안 취약점이 발견되더라도 MS가 보안 패치를 제공하지 않는다. 랜섬웨어가 이 보안 취약점을 통해 사용자의 PC에 제 집 드나들 듯이 침투할 수 있다. 구형 IE를 사용하는 것은 도둑에게 정문을 활짝 열어주는 것과 다를 바 없다.

크립토락커
크립토락커
<랜섬웨어의 한 종류인 크립토락커에 감염된 모습. 노골적으로 돈을 요구한다>

3. 플래시 플레이어를 최신 버전으로 업데이트하라

랜섬웨어의 주 침투 방법 중 하나가 구형 어도비 플래시 플레이어의 보안 취약점을 활용하는 것이다. 때문에 언제나 플래시 플레이어를 최신 버전으로 유지해야 한다. IE나 파이어폭스 사용자라면 사용자가 직접 플래시 플레이어를 업데이트해야 하고, 크롬과 엣지 사용자라면 웹 브라우저를 업데이트하면 플래시 플레이어도 함께 최신 버전으로 업데이트 된다.

사실 플래시 플레이어는 틈만 나면 보안 취약점이 발견되는 플러그인이다. 때문에 웹 브라우저의 플래시 플레이어 기능을 꺼두거나, 아예 웹 브라우저에 플래시 플레이어를 설치하지 않는 것도 랜섬웨어에 대처하기 위한 좋은 방안이다.

4. 공짜 사이트는 악성코드의 온상

드라마, 영화, 만화, 음악 등을 공짜로 제공하는 공짜 사이트. 저작권법 위반을 논하지 않더라도, 심각한 문제가 하나 더 있다. 바로 악성코드의 온상이라는 것이다. 특히 랜섬웨어가 사용자의 PC로 침투하는데 최적의 경로로 활용되고 있다.

대부분의 공짜 사이트는 각종 광고로 도배되어 있다. 수익을 거두기 위함이다. 이 광고가 바로 보안 위협이다. 공짜 사이트는 저작권법 위반 때문에 구글 애드센스 같은 정상적인 광고를 걸어둘 수 없다. 때문에 각종 불법/성인 광고 위주로 광고 페이지를 구성한다. 영세한 규모의 광고 서버를 통해 제공되는 이 광고가 제대로된 보안 시스템을 갖추고 있을리 없다. 해커는 이러한 약점을 파고든다. 먼저 불법/성인 광고 서버를 해킹해 랜섬웨어를 심고, 랜섬웨어에 감염된 광고를 보는 사용자의 PC에 침투하는 것이다.

홈페이지에 불법/성인 광고가 많으면 많을 수록 랜섬웨어에 감염될 확률도 기하급수적으로 올라간다. 따라서 중요한 파일이 저장된 PC로 공짜 사이트에 접속하는 것은 엄금해야 한다.

구형 IE와 플래시 플레이어를 사용 중이고, 공짜 사이트에 자주 접속하는 사용자라면 이미 랜섬웨어에 걸린 것이나 다름 없다. 지금 감염되지 않았더라도, 곧 감염될 것이다. 사용자들이 명심해야 할 부분이다.

5. 운영체제를 최신으로 업데이트할 것

보안 취약점은 구형 IE와 플래시 플레이어에만 있는 것이 아니다. 윈도 운영체제에도 있을 수 있다. 랜섬웨어는 이러한 틈을 노린다. 때문에 사용자는 MS가 제공하는 보안 패치를 반드시 설치해야 한다.

윈도우7이나 그 이상 버전을 사용 중이라면 MS가 보안 패치를 꼬박꼬박 제공하고 있기 때문에 큰 걱정을 하지 않아도 된다. 하지만 지원이 종료된 윈도우XP 사용자는 이제 보안 패치를 받을 수 없다. 때문에 사용하면서 많은 주의를 기울여야 한다. 가장 최선의 방법은 윈도우XP를 보안 패치를 제공하는 윈도우7 이상의 버전으로 업그레이드하는 것이다.

6. 수상한 이메일을 열지말고, 수상한 파일을 받지말고, 바이러스 백신을 설치하라

악성코드에 대처하는 가장 좋은 방법은 수상한 곳에서 보낸 이메일을 열지 말고, 수상한 파일은 PC에 내려받지 않는 것이다. 거기에 믿을만한 바이러스 백신까지 설치하면 금상첨화다. 어떤 파일이든 PC에 설치하거나 옮기기 앞서 바이러스 백신으로 검사하는 것은 필수다.

이러한 보안상식은 랜섬웨어에도 유효하다. 랜섬웨어의 경우 해외에서 먼저 유행하고 국내에 상륙하는 경우가 많기 때문에 '카스퍼스키' 같은 해외의 유명 바이러스 백신의 대응이 좀 더 빠른 편이다. 기억해두자.

7. 복호화 사이트를 이용하자

만약 랜섬웨어에 감염되어 파일이 암호화됐다면, 복호화 서비스를 이용하는 것도 하나의 방법이다. 카스퍼스키는 암호가 분석되거나, 해커가 검거되어 암호가 공개된 랜섬웨어파일을 복호화할 수 있도록 홈페이지(https://noransom.kaspersky.com/)에서 복호화 서비스를 제공하고 있다.

그러나 복호화 사이트가 만능은 아니다. 새로운 랜섬웨어로 암호화된 파일은 암호를 해제할 수 없으니 큰 기대는 금물이다.

8. 해커한테 돈을 지불해야 하나?

랜섬웨어는 애당초 해커가 부정한 방법으로 돈을 벌기 위해 만들어낸 악성코드다. 때문에 암호화된 파일을 실행하면 암호입력창과 함께 어디로, 어떤 형태로 돈을 지불하면 암호의 답을 보내주겠다는 안내문이 함께 나타난다. 특정 기간내로 입금하지 않으면 암호를 영영 풀 수 없다는 협박은 덤이다. 실제로 랜섬웨어의 암호는 보통 2048비트로 구성되어 있기 때문에 일반적인 방법으로 암호를 푸는 것은 불가능하다.

많은 비용과 열정을 담아 만든 파일을 이대로 잃어버릴 수는 없는 노릇이다. 때문에 랜섬웨어에 당한 사용자의 상당수가 해커에게 돈을 지불하고 있다. 지불은 보통 경찰의 추적을 방지하기 위해 '비트코인'을 통해 이뤄지고 있다.

하지만 돈을 지불하더라도 실제로 암호의 답을 받은 사용자는 극소수다. 돈은 돈대로 날리고, 답은 받지못하는 어처구니 없는 상황이 일어나는 것이다. 게다가 사용자들이 한 번 돈을 지불하기 시작하면 돈을 벌기 위해 해커들이 더욱 기승을 부리기 마련이다. 때문에 해커에게 돈을 지불하는 것은 추천할 만한 일이 못된다.

그나마 기대할 만한 부분은 내 파일을 감염시킨 랜섬웨어 제작자(해커)가 검거되는 것 뿐이다. 해커가 검거되면 복호화 서비스에 해당 랜섬웨어의 답이 추가되기 때문에 파일에 걸린 암호를 풀 수 있는 가능성이 생긴다.

랜섬웨어에 대처하는 가장 좋은 방법은 '내 PC가 랜섬웨어에 감염되지 않도록 예방하는 것' 뿐임을 잊지 말아야 한다.

글 / IT동아 강일용(zero@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.