최근 세계 곳곳에서 불특정 다수를 대상으로 하는 테러가 빈번하게 발생하고 있어서
국제 사회의 불안감이 계속 증가하고 있는데요.
사이버 세상에서도 이에 못지 않게 해킹에 대한 위협이 지속적으로 늘고 있습니다.
그 중에서도 랜섬웨어가 2016년 최대의 보안 위협으로 자리 잡을 만큼
피해 사례들이 눈에 띄게 늘고 있는데요
사이버 세계의 무법자로 불리 울만큼 광범위하고 무차별적으로 공격이 이루어지고 있고,
한번 당하면 해결하기 어렵기 때문에
랜섬웨어 대응과 예방에 대한 중요성이 더욱 더 커지고 있습니다.
여러 차례 당부해도 아쉬움이 남기에
이번에도 랜섬웨어가 무엇이고,
현명하게 대응하고 예방할 수 있는 방법에 대해 알려드리고자 합니다.
랜섬웨어, 어떤 기술을 쓰나
랜섬웨어의 근간을 이루는 핵심 기술은 암호화(encryption)과 복호화(decryption) 입니다.
암호화와 복호화는 원래 어떠한 정보나 자료를 보관하기 위해 사용하는 방법이었지만
랜섬웨어는 이 기능을 금전을 탈취하려는 목적으로 악용해서
상대방이 가지고 있는 중요한 문서나 자료 등을 확인할 수 없도록 암호화 시켜버리고
복호화를 위해서는 금전을 지불하도록 유도하는 수법을 쓰고 있습니다.
랜섬웨어는 파일을 암호화하기 때문에
피해의 정도나 복구 역시 암호화 알고리즘에 영향을 받게 되는데요
기본적으로 컴퓨팅 환경에서 다루는 암호화는 알고리즘에 따라
크게 단방향 암호화와 양방향 암호화 2가지 유형으로 나뉘어집니다.
단방향 암호화란 원래의 문자열로 복호화가 불가능한 암호화 알고리즘으로
주로 패스워드 검증 등에 사용되는 암호화 알고리즘을 말합니다.
양방향 암호화란 단방향과는 반대로 원래의 문자열로 복호화가 가능한 암호화 알고리즘 입니다.
랜섬웨어 공격 목적
랜섬웨어의 근본적인 목적은 금전적 이익을 얻기 위함 입니다.
돈이 목적이다 보니 양방향 암호화를 기반으로 가능한 많은 자료를
감염 대상으로 삼고 있습니다.
업무 시 주로 사용되는 문서들의 확장자인
doc, docx, xls, xlsx, ppt, pptx 같은 파일에서부터
이미지 파일인 gif, jpg, jpeg, png 등 다양한 파일이 공격 대상이 됩니다.
일반적인 악성코드와는 다른 특이한 액션을 취하는 부분이 있는데
일반적인 악성코드는 자신이 감염되었다는 사실을 숨기는 반면,
랜섬웨어는 적극적으로 알리기 위한 처리가 병행 된다는 부분이 다릅니다.
예를 들면, 파일명 뒤에 enc 또는 다른 특이한 문자가 붙은 형태로 바탕화면에 이동 시킨다든지
요금을 지불하라는 메시지 창을 화면에 띄우는 것이 그에 해당 된다고 할 수 있습니다.
이는 감염된 피해자가 자신의 자료가 공격 당했다는 사실을 인지하고
피해 복구를 위한 의지가 발생해야 수익으로 연결이 되기 때문에
대부분은 이 범주를 벗어나지 않게 됩니다.
그러나 간혹 드물게 악의적인 목적으로 수익 여부와는 상관없이
상대방을 골탕 먹이기 위한 목적으로만 만들어지는 랜섬웨어는
액션은 비슷하나 복원이 불가능한 단방향 암호화 방식을 사용하여
일단 감염되면 자료를 복원할 수 없도록 만들어 버리기도 합니다.
랜섬웨어 피해 복구 가능성
만약 랜섬웨어에 의해 피해를 입었을 경우
피해복구 가능성을 가늠해보기 위해서는 몇 가지 요소를 파악해야 할 필요가 있습니다.
▲ 양방향 암호화를 이용하고 있는 랜섬웨어인지 파악한다
첫 번째로 감염된 랜섬웨어가 양방향 암호화 알고리즘을 사용하고 있는지를 먼저 파악해야 합니다.
이를 위해서는 감염된 랜섬웨어를 찾아내어 디버깅이나
리버스 엔지니어링을 통한 직접적인 분석을 수행해야 합니다.
하지만 컴퓨터에 대한 전문기술을 가지고 있지 않은 일반인들은
감염된 랜섬웨어가 어떠한 암호화 알고리즘을 사용하는지 알 수가 없으므로
감염 후 화면에 나타난 안내 메시지 또는 화면을 스크린샷 또는
스마트폰 카메라 등으로 찍어서 전문가에게 복원 가능성을 문의하는 것이 좋습니다.
▲ 랜섬웨어 내부에 암호화 및 복호화를 위한 키가 존재하는지 파악한다
두 번째로, 감염된 랜섬웨어 내부에 암호화 또는 복호화 키가 내장되어 있는지를 파악해야 합니다.
만약 랜섬웨어 내부에 암호화 또는 복호화 키가 내장되어 있다면
해당 악성코드를 만든 공격자에게 비용을 지불하지 않더라도
리버스 엔지니어링이 가능한 전문가에게 부탁하거나
백신 회사에서 해당 랜섬웨어에 대한 복원 툴이 공개되는 것을 기다려
자료 복원을 기대해 볼 수 있습니다.
▲ 공격자에게 비용을 지불했을 경우 복원시켜준 사례가 있는지 파악한다
세 번째로 공격자에게 비용을 지불했을 경우에
자료를 확실히 복원시켜준 사례가 있는지를 파악하는 것 입니다.
만약 공격자가 비용을 지불해도 자료를 복원해주지 않는다면
금전적 피해라는 2차 피해만 발생하고 자료는 복원하지 못하게 될 가능성이 높습니다.
만약 양방향 암호화를 이용하고 있는 랜섬웨어이며
랜섬웨어 자체(암호화 처리한 파일 포함)에 암호화 및 복호화를 위한 키를 보관하고 있다면
비용 지불 없이 데이터를 복구할 수 있는 가능성이 높아집니다.
이 경우 백신 제조사 등이 복원을 위한 전용 프로그램을 제작하여 배포하고 있으므로
무료로 복원을 시도해 볼 수 있는 가능성도 생기게 됩니다.
그러나 양방향 암호화를 사용하지만 별도로 키를 보관하지 않고
공격자가 만들어 놓은 서버 등에 전송을 시키는 경우에는 자체적인 복원의 가능성이 낮아지므로
복원을 위해서는 금전적인 비용 지불을 해야 할 경우도 발생할 수 있습니다.
이 때는 해당 공격자가 비용을 받은 대가로
신뢰 있게 자료를 복원할 수 있게 해주는지 사전에 확인해봐야
추가적인 피해 발생으로 이어지지 않고
자료를 복원할 수 있는 가능성을 조금이라도 높일 수 있을 것 입니다.
랜섬웨어 대응 및 예방법
그렇다면, 랜섬웨어를 예방하고 피해를 최소화하기 위해
우리가 할 수 있는 방법으로 어떤 것들이 있는지 알아보겠습니다.
▲ 플래시 플레이어(Flash Player)/어도비리더(Adobe Reader)/자바(Java) 등을 최신 버전으로 유지한다.
지난 4월 7일, 어도비 시스템즈는 해커들이 랜섬웨어로
악용한 플래시 플레이어 24개 취약점에 대한 보안 업데이트를 발표했습니다.
이에 따라 사용자들은 윈도우 또는 맥에서는 '21.0.0.213'버전으로, 리눅스에서는 '11.2.202.616'버전으로
플래시 플레이어를 업데이트 해야 랜섬웨어 공격으로부터 그나마 안전할 수 있습니다.
플래시 플레이어 확장 지원 릴리즈 또한 버전 '18.0.0.343'으로 업데이트 되었으니
반드시 최신 버전으로 유지하기 바랍니다.
▲ 인터넷 익스플로러 보다는 크롬을 사용한다
인터넷 사용 시 상대적으로 보안성이 높은 크롬을 사용하는 것이
랜섬웨어 예방에 도움이 됩니다.
특히 크롬에서도 'AdBlock' 앱을 추가해 두면
웹에 있는 광고 창을 90% 이상 차단할 수 있어 보다 안전하게 PC를 이용할 수 있습니다.
또한, 우리나라 인터넷 환경 특성상 플래시 사용은 거의 필수로 여겨지므로
검증되지 않은 사이트에 접속해야 할 경우
‘어도비 플래시 플레이어’를 비활성화(chrome://plugins 접속 > Adobe Flash Player ‘사용 중지’ 클릭)하여
혹시 모를 감염을 예방해야 합니다.
'보안 이야기' 카테고리의 다른 글
IoT 보안, 어떻게 하면 좋을까요? (0) | 2016.11.11 |
---|---|
모바일 보안, 스마트폰 보안위협과 대응방안 (0) | 2016.09.23 |
개인정보보호 관리체계(PIMS) 파헤치기 (0) | 2016.07.14 |
휴가철 정보보안 체크 리스트 10 (0) | 2016.06.22 |
정보보안 인증 체계(ISMS) 파헤치기 (0) | 2016.06.08 |