“컴퓨터 끄지 마세요”…랜섬웨어 대응 가이드 낸 KISA의 조언
데이터를 암호화하고 복구를 위한 금전을 요구하는 ‘랜섬웨어(Ransomware)’ 공격은 이미 널리 알려진 방식이지만, 갈수록 진화하는 수법 탓에 여전히 피해가 큰 상황이다.
SK쉴더스의 한국 랜섬웨어 대응 협의체(KARA) 보고서에 따르면 올해 2분기 랜섬웨어 공격 건수는 1311건으로 전년 동기 대비 112% 증가한 것으로 나타났다. 랜섬웨어의 위험성이 널리 알려졌음에도, 감염 사례는 되레 늘어나고 있는 것.
잘못된 감염 예방과 대응은 물론 잘못된 상식까지 겹쳐 피해가 커지는 일은 반드시 막아야 한다. 항간에는 사이버 공격이 ‘기-승-전-랜섬웨어’로 귀결되고 있다는 말까지 나오고 있다. 최근의 랜섬웨어 동향은 어떻게 바뀌었고 또 어떻게 대응해야 할 지 길을 제시하는 가이드라인이 나와 주목된다.
한국인터넷진흥원(KISA)는 3일 ‘랜섬웨어 대응 가이드’ 개정본을 발간했다. 5년 만에 개정한 나온 가이드라인은 피해 예방을 비롯해 필수적으로 점검해야 하는 요소 등을 담았다.
이메일 노리던 랜섬웨어, 이제는 홈페이지 겨냥
KISA는 보고서에서 “랜섬웨어는 불특정 다수를 감염시키는 웜 형태와 해킹을 통해 감염시키는 타깃형 공격으로 진화하고 있다”고 밝혔다. KISA가 국내에서 발생했던 주요 랜섬웨어 피해 사례를 종합적으로 분석한 결과, 본래는 이메일에 랜섬웨어 파일이나 URL을 첨부하는 방식이 주로 쓰이던 것에서 ▲보안이 취약한 웹사이트 공격 ▲중앙관리솔루션 침투 ▲관리자 PC 감염 등 크게 3가지가 주요 경로로 자리잡은 것으로 나타났다.
기업 공식 홈페이지나 홍보용 웹사이트를 해킹해 기업에서 관리하는 다른 서버로까지 랜섬웨어 감염을 확산하는 방식이 널리 쓰였고, 회사의 PC나 서버를 중앙에서 제어하는 솔루션을 해킹해 솔루션의 파일 배포나 실행기능을 통해 대규모로 랜섬웨어를 배포하는 형태도 다수였다.
또 시스템을 관리하는 중요 관리자의 PC에 스피어 피싱을 먼저 수행하고, 관리자가 악성 이메일 첨부파일을 실행하면 해커가 시스템에 접속해 랜섬웨어를 실행하는 방식도 최근의 공격 트렌드다.
반대로 개인이라면 SNS에 주의를 기울여야 한다. 유명인의 SNS 계정을 해킹해 사진만 눌러도 랜섬웨어 파일이 다운로드 되도록 하거나, SNS 주소로 위장한 URL 클릭을 유도해 랜섬웨어를 유포하기도 한다.
복구를 빌미로 금전을 요구하는 방식도 분화하고 있는데, 비트코인이나 이더리움으로 데이터 몸값을 요구하는가 하면 특히 익명 네트워크인 ‘토르(Tor)’를 사용하는 것이 눈에 띈다.
잠깐 상식! 랜섬웨어 걸린 데이터 복구 스스로는 못할까
KISA는 랜섬웨어가 RSA와 AES 같은 암호화방식을 활용하고 있어 해커가 복구키를 제공하지 않으면 사실상 데이터를 살리는 게 불가능하다고 경고한다. 또 볼륨 섀도우 복사본(VSC)을 삭제하는 공격도 복원을 요원하게 하는 요소다.
- RSA: 큰 숫자를 소인수 분해하기 어려운 점을 활용한 비대칭키 암호화 알고리즘. 암호화 키와 복호화 키를 만드는 알고리즘이 서로 달라 비대칭키라고 부른다. 미국의 국립표준기술연구원(NIST)이 인정한 암호화 방식으로, 전자서명에도 활용된다. 이름은 해당 알고리즘을 고안한 Rivest, Shamir, Adelman 세 사람의 이름을 머릿글자를 땄다.
- AES: 고급 암호화 표준(Advanced Encryption Standard)의 약자로, 암호화와 복호화 과정에 동일한 키를 쓰는 알고리즘이다. 비대칭 방식에 비해 구조가 비교적 간단하고 속도가 빨라 효과적인 암호화가 가능하다.
- 볼륨 섀도우 복사본: 윈도우 시스템 복구를 위해 사용되는 특정 시각의 파일 및 폴더, 주요 시스템 파일 등의 복사본. 랜섬웨어 감염시 이를 지워 이전으로의 롤백이나 복원을 차단한다.
- 랜섬노트: 해커들이 데이터 몸값 지불 방법이나 연락처 등을 남겨놓는 일종의 메시지 노트다. 랜섬웨어에 감염된 파일을 열면 해당 노트가 뜨는 방식이 가장 일반적인 형태다.
컴퓨터 끄지 마세요
랜섬웨어 감염이 확인되면 당황해 PC의 전원을 끄는 경우가 많지만, 이는 바람직하지 못한 행동이다. 경우에 따라 PC가 종료되면 부팅까지 불가능하게 되는 경우가 있어서다. 한 번 시스템에 침투한 랜섬웨어는 공유 폴더를 비롯해 클라우드 서버나, USB, 외장하드 등으로 확산을 시도하기 때문에 네트워크를 차단하고 외부 저장장치 연결은 해제하되 PC 전원을 내려서는 안 된다.
우선 랜섬노트나 암호화된 파일이 생성된 화면을 캡처하거나 촬영해 놓아야 한다. 남겨 놓은 캡처나 사진 파일을 KISA나 경찰에 제출해 자세한 상담을 받으라는 게 KISA의 조언이다. KISA는 특히 해커가 파일 복구에 필요한 복호화 키를 제공한다는 보장이 없고, 합법적 거래가 아니라서 법적 보호를 받을 수 없어 비용을 지불하지 말 것을 권장했다.
또한 이메일을 노린 랜섬웨어가 여전히 기승을 부리는 만큼 doc., xls. 등 문서 파일의 매크로 기능을 허용하지 말고, 첨부된 스크립트(JS, JAVA 등)나 실행파일은 실행하지 말 것을 당부했다.
박용규 KISA 침해사고분석단장은 “기업이 랜섬웨어 사고를 인지했을 때는 이미 중요 데이터가 암호화된 이후라 적지 않은 피해가 발생할 수 있다”며 “이번 가이드를 적극 활용해 랜섬웨어 피해 예방을 위해 할 수 있는 조치들을 적극적으로 취해주길 바란다”고 밝혔다.
개정된 랜섬웨어 가이드는 KISA 홈페이지에서 다운받을 수 있다. 랜섬웨어 예방과 복구방법을 원클릭으로 확인하고 신고까지 할 수 있는 ‘STOP랜섬웨어 대응 페이지’를 참고하는 것도 좋은 방법이다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network