2015년 한 해를 뜨겁게 달구었던 보안 사건사고 중에 대표적인 이슈를 한가지 꼽으라면 바로 ‘랜섬웨어(Ransomware)’일 것 같습니다. 2015년 이전에는 주로 정보보안 전문가들 사이에서 회자되던 용어가 이제는 일반 대중들에게도 널리 알려지게 되었는데요. 오늘은 랜섬웨어란 무엇이고, 어떻게 대비해야 할지 독자 여러분께 소개해 드리겠습니다.
랜섬웨어란?
랜섬웨어(Ransomware)에 대해 알아보기 전에 해당 용어의 어원에 대해서 먼저 알아볼까요? ‘Ransomware’는 몸값을 뜻하는 단어인 ‘Ransom’과 제품을 뜻하는 단어인 ‘–ware’가 합쳐져서 만들어진 단어인데요. 이는 악성코드를 분류할 때 흔히 사용하는 방법으로, Malware, Ad-Ware, Spyware 등의 용어도 이와 같은 방식으로 단어를 합쳐 만든 신종 단어들입니다.
Malware = Malicious + ware, Ad-Ware = Ad + ware, Spyware = Spy + ware
Malware는 말 그대로 악성코드라는 뜻입니다. Ad-Ware는 강제로 사용자 PC에서 광고를 보게 만들어 사용자들을 귀찮고 짜증나게 만드는 악성코드의 일종입니다. Spyware는 다들 예상하시겠지만 사용자 PC에서 사용자의 행위를 지속적으로 감시하고 그 사용 내역을 해커에게 전송해주는 스파이 역할을 하는 악성코드입니다.
단어의 뜻을 그대로 해석해 보면 랜섬웨어는 몸값을 요구하는 소프트웨어라고 할 수 있겠습니다. 아직까지 랜섬웨어가 공식적으로 사전에 등록되지는 않았으나 위키피디아의 용어 정의를 보면 ‘감염시킨 컴퓨터 시스템에 특정 방식으로 제약을 가하고 해당 제약을 제거하기 위해서 비용(몸값)을 운영자로부터 요구하는 악성코드의 일종’이라고 나와 있습니다.
자, 이제 용어의 뜻을 알았으니 랜섬웨어가 어떻게 갑자기 등장하게 되었는지, 어떤 피해를 입혔는지 살펴볼까요?
랜섬웨어의 동향
랜섬웨어의 등장배경은 크래커(또는 블랙햇 해커)들이 돈을 벌기 위해서입니다. 사용자의 PC에 저장된 문서, 사진, 동영상 파일들을 암호화한 후 돈을 내면 암호를 풀 수 있는 비밀번호를 알려주겠다고 협박하는 것이 가장 흔한 형태의 랜섬웨어인데요. 이런 형태의 악성코드가 2015년에 새롭게 등장한 것은 아닙니다. 아래 [그림 1]의 구글 트렌드 결과에서 보시는 바와 같이 랜섬웨어는 2006년 처음 등장한 이후 전세계적으로 2010년부터 계속해서 검색량이 증가하고 있습니다.
국내에 본격적으로 ‘랜섬웨어’라는 단어로 검색이 되기 시작한 시점은 2015년부터인데요. 아래 그림의 두 선을 비교해보시면 국내에서는 특히 2015년부터 큰 폭으로 증가한 것을 알 수 있습니다.
랜섬웨어가 상륙한 시점은 2015년 4월로 보고 있는데요. 이 때 최초로 국내 주요 커뮤니티 사이트를 통해 배포된 랜섬웨어의 한글화 작업이 이루어졌습니다.
위의 [그림 2]를 보시면 최근까지 국내의 랜섬웨어의 유포가 계속 확대되고 있는 것을 볼 수 있습니다.
랜섬웨어 작동방식 및 대응방안
그렇다면 랜섬웨어가 어떤 방식으로 작동하는지, 그리고 어떻게 대응하면 좋을지를 랜섬웨어의 공격 절차에 따라 알아보도록 하겠습니다.
우선 랜섬웨어는 크게 아래 3가지 단계를 거치면서 사용자에게 피해를 입히게 됩니다. 그럼 각 단계별 작동 방식과 대응방안을 자세히 알아보도록 하겠습니다.
1. 감염
스팸 메일을 읽거나, 이미 감염되어 유포지로 악용되는 웹사이트에 접속하여 다운로드를 받게 되는 ‘Drive by download’가 대표적인 랜섬웨어 감염 경로의 예입니다. 실제로 랜섬웨어에 감염이 되려면 어떤 형태로든 사용자 행위가 필요한데요. 스팸메일을 읽거나, 감염된 첨부파일을 열어보거나, 불법 동영상•사진 또는 불법 소프트웨어를 다운로드 받거나 하는 행위를 통해 감염될 수 있습니다.
그런데, 사용자는 전혀 의심 없이 자주 사용하던 웹사이트에 접속만 했을 뿐인데 랜섬웨어에 감염이 되는 심각한 경우도 있습니다. 이 경우는 사용자 브라우저나, PC의 소프트웨어 등의 취약점을 이용하여 웹사이트에 접속하는 즉시 감염이 되는 ‘Drive by download’로 불리는 랜섬웨어 배포방식입니다.
● 대응 방안
- 알려지지 않은 발신인의 메일을 받았을 경우 메일 내용과 첨부파일이 진짜 자신에게 온 메일이 맞는지 반드시 확인하고 메일과 파일을 열어본다.
- 불법 동영상, 사진, 소프트웨어 등을 알지 못하는 웹사이트에서 다운로드 받지 않는다.
- 사용하는 OS 및 브라우저의 최신 보안 업데이트를 설치한다. (윈도우 XP와 같이 보안 업데이트 지원이 종료된 OS는 사용하지 않는다.)
- Adobe 플래시, Java 등 별도 소프트웨어 역시 최신 보안 업데이트를 유지한다.
- 백신을 설치하고 항상 최신 업데이트가 되도록 유지한다.
2. 암호화 및 사용제약
이처럼 랜섬웨어는 사용자 자신도 모르게 다운로드 되어 설치되는데요. 그 후 사용자 PC에서 실행이 되어 주요 파일들을 암호화해 버립니다. 최근의 많은 랜섬웨어가 사용자 파일을 암호화 하는 방식이지만 모든 랜섬웨어가 파일을 암호화 하는 것은 아닙니다. 아예 PC를 사용하지 못하게 화면 잠금을 해버리는 경우도 있으며 계속해서 성인 콘텐츠를 노출시키는 경우도 있습니다. 이처럼 어떤 형태로든 사용자가 PC를 사용하는데 제약을 발생시키는 것이 랜섬웨어의 목적인 것이죠.
● 대응 방안
- 정기적으로 중요 파일들을 백업하여 별도로 보관한다.
보시다시피 실제 감염된 이후에 제약이 걸렸을 경우 대응방안은 그리 많지 않습니다. 따라서 감염되지 않도록 사전에 주의를 기울이고 혹시라도 감염되었을 경우를 고려해서 중요한 파일들은 항상 별도로 백업을 해야 합니다.
3. 몸값 요구
이렇게 사용자 PC에 제약을 가했으면, 그 다음으로 몸값을 요구하게 됩니다. 특정 계좌에 특정 금액을 입금을 하라고 하던지, Paypal 등의 결제시스템을 이용하여 결제를 유도합니다. 예전에는 전화를 걸면 이용요금이 많이 나가는 유료전화를 걸도록 하는 방법도 많이 사용되었습니다.
실제 몸값을 지불해서 암호를 풀었다거나, 제약을 없앤 사례가 있지만 모든 사용자가 그렇게 할 수는 없는 것이 사실입니다. 매우 중요한 파일에 제한이 걸려 어찌할 수 없을 때, 몸값을 내고 말겠다는 유혹이 강하게 들겠지만 신중하게 판단하여야 합니다.
● 대응 방안
- 몸값 지불이 항상 원하는 결과를 주지 않는다는 것을 명심하고 대응한다.
요약을 하자면, 랜섬웨어는 감염되지 않는 것이 상책이며, 혹시라도 감염될 경우를 대비하여 중요 파일들은 반드시 별도로 백업을 해놓도록 하는 것이 중요합니다.
그런데, 국내 기업 임직원의 PC가 랜섬웨어에 많이 감염되고 있다고 하는데요. 개인들은 한정된 자원 때문에 어쩔 수 없겠지만 백신부터 다양한 보안 솔루션까지 구비하고 있는 기업에서 왜 감염자가 나오는 것일까요?
실제 대부분의 기업에서 사내 업무 시스템의 표준 브라우저를 윈도우 익스플로어 하위버전으로 사용하는 경우가 매우 많습니다. 이런 경우 앞서 말씀드렸던 감염 예방을 위한 대응방안 중 최신 업데이트를 유지하는데 제약이 발생하게 됩니다.
게다가 2016년부터는 마이크로소프트 사에서 해당 운영 체제의 브라우저가 최신 브라우저가 아닌 경우 지원 중단을 한다고 합니다. 이에 대비하기 위해서라도 기업들은 임직원 PC가 항상 최신 보안 업데이트를 유지할 수 있도록 사내 IT 시스템을 철저하게 관리해야 할 것입니다.
새로운 해킹방식이 지속적으로 등장하고 있지만, 이에 따른 대응방안을 잘 준수한다면 어떤 위협에도 대비할 수 있을 것입니다. 위에 말씀드린 ‘랜섬웨어’의 대응방안을 잘 지켜서 독자 여러분은 피해가 없으시길 바랍니다.
글 ㅣ LG CNS 보안컨설팅팀
