본문 바로가기

보안 이야기

[해킹 이슈] 랜섬웨어 예방 및 조치 방법

 

악성코드를 통해 침입한 컴퓨터의 내부 문서를 볼모로 돈을 요구하는
일명 ‘랜섬웨어(Ransomware)’가 국내 유입되면서 기업들이 긴장하고 있습니다.

 

지난 4월 20일 국내 한 커뮤니티가 랜섬웨어 공격을 받은 이후,
같은 피해를 입은 기업들이 생겨나고 있어
국내에도 랜섬웨어 확산에 대한 우려가 커지고 있는데요.
그래서 이번 시간에는 최근 이슈가 되고 있는 랜섬웨어에 대해 알아보도록 하겠습니다

 

 

 랜섬웨어란

 

 

 

 ■ 랜섬웨어란
 - 랜섬웨어란(Ransomware) 악성 프로그램의 일종으로 컴퓨터 사용자의 문서를 볼모로 잡고

   돈을 요구한다고 해서 랜섬(Ransom, 인질)이라는 수식어가 붙었습니다.
   랜섬웨어에 감염된 경우, 사용자 컴퓨터에 저장된 문서, 그림 파일 등을 암호화해
   열지 못하도록 하고, 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며
   금품을 요구하는 신종 사이버범죄 말합니다.

 

<출처 : 한국인터넷 진흥원>

 

<출처 : 소프트캠프 컨설팅사업부>

 

▲ 랜섬웨어 사례

 

그렇다면 랜섬웨어가 어떤 영향을 주었는지 아래 사례들로 확인해 보겠습니다.

 

 

■ 사례1
  지난 4월 20일 새벽 1시부터 11시까지 유명 커뮤니티 접속만으로도
  수 백명이 크립토락커(Crypt0L0cker) 랜섬웨어에 감염돼 사용자 PC 로컬 하드디스크뿐

  아니라  외장하드, 네트워크 드라이브로 연결된 서버, 드롭박스나 N드라이브 같은

  퍼블릭 클라우드, 문서중앙화 시스템 사용자 데이터가 암호화돼 데이터를

  사용할 수 없게 됐다.

  랜섬웨어 공격으로 공공기관·지자체·대기업·중소기업과 개인 등

  우리 사회 전 분야에 걸쳐 PC와 서버 데이터가 감염돼 피해가 심각하다.
  크립토락커 랜섬웨어 특징은 한글화된 최초 랜섬웨어란 점이다.
  영문버전에서는 제외된 ‘한글’ 파일을 암호화했다. 감영 형태도 이메일 첨부파일 방식에서

  특정 사이트에 접속하는 것만으로도 감염되는

  드라이브-바이-다운로드(Drive-by-downloads)방식으로 확산했다.
  랜섬웨어 침해 사태로 해커는 자금거래가 보호되는 비트코인 형태로 한국 감염자에게서

  최고 1억원 정도 송금 받은 것으로 추정된다.

  한국이 해커의 주요 공략 대상이 될 가능성이 매우 높은 상황이다.

 

 

 

 ■ 사례2
  시만텍 리포트에 따르면, 크립토디펜스(CryptoDefense)로 알려진 랜섬웨어는
  2048 비트 RSA 공개키로 사용자의 파일들을 암호화한다.
  그런 후 감염된 컴퓨터를 복호화한다는 조건으로 500달러,
  우리 돈으로 53만원 정도를 요구한다. 만약 사용자가 4일 안에 지불하지 않으면
  몸 값은 2배가 된다. 하지만 이 랜섬웨어 제작자는 실수로 복호화키를 감염된

  컴퓨터 하드디스 크에 저장해 둔 것이 밝혀진 것이다.
  즉 돈을 지불하지 않아도 된다는 것이다.
  크립토디펜스에 가장 많이 감염된 국가는 미국과 영국 쪽 PC들이다.
  대부분 스팸 메일을 통해 1만1천대 가량의 PC가 감염된 것이다.


 

랜섬웨어는 이렇게 이메일, 웹사이트, P2P등으로 감염되었으며 파일 또는 오피스 문서파일에

위장 되어 배포되고 있습니다.
현재는 변종 랜섬웨어가 계속 발생되어 최근 랜섬웨어는 영역을 확장해
안드로이드 스마트폰 데이터까지 위협하고 있는 상황입니다.

 

▲ 랜섬웨어 감염 과정

 

 

 1. 메일 유입 랜섬웨어는 속도위반, 범칙금 공지 등 이메일을 통해 전파되며
    첨부파일을 실행할 경우 감염

 

 

 

 2. 랜섬웨어 동작 랜섬웨어가 동작할 때 아래와 같은 메시지가 나타나며,
    동일한 증상이 PC에 발생할 경우 PC를 종료해야 피해를 최소화

 

 

 

 3. 랜섬웨어 인지감염 후 PC가 재 부팅되면 감염 시 생성되는 JPG, TXT, 웹파일을
     실행하면 아래와 같은 화면을 확인 가능

 

 

 

 4. 랜섬웨어에 의해 암호화된 파일은 다시 복구되기 어렵고 
    피해자가 공격자의 요구에 따라 대가를 지불해도 파일 복구가 된다는 보장이 없음

 

 

 

 

▲ 랜섬웨어 예방법 및 감염 시 조치방법

 

 

 1. 랜섬웨어 조치

 

  1) 랜섬웨어에 감염된 것을 발견하면 즉시 백신 프로그램으로 컴퓨터를 검사하여야 함.
     - 대응 가능한 백신의 개인용 무료백신 다운로드 
       ① 하우리 바이로봇 
       ② V3Lite 
       ③ V3 (네이버 백신) 
       ④ 알약 


  2) 암호화문서 복호화 시도 전세계에서 문제가 발생하다 보니

      여기저기에서 복구 성공 여부에 대해 주목하고 있음.

      사용자 마다 다르겠지만 일부 랜섬웨어 파일 삭제 및 데이터복구에

      도움을 줄 수 있는 툴 소개.
    - 카스퍼스키 사에서 제작한 RakhniDecryptor utility for removing Trojan

       Ransom.Win32.Rakhni malicious software 툴이며 아래 그림과 같이 간단한
       설정으로 악성파일 삭제 및 데이터 파일을 복구 기능 보유
       <출처 : http://support.kaspersky.com/viruses/disinfection/10556#block1 >

 

 

 

 

 

 

 랜섬웨어 예방

 

▲ 랜섬웨어 예방

 

 

 1) 데이터 백업
  - 중요 데이터의 경우 외장하드 및 클라우드 웹하드 서비스에 따로 백업 해두는 것이 안전
 
 2) 보안성 강화
  -  Windows 8 이상이시라면 보안 업데이트를 켜 두는 것만으로도 기본적인 대비가 가능
      IE가 인터넷에 접속하는 순간 보안관련 패치를 확인하고 자동으로 업데이트
      특히 취약점이 많은 플래시는 자동 업데이트가 기본 세팅이며 

      윈도우 업데이트를 끄지 않는 한 바뀌지 않음
  -  Windows 8 이하 버전사용 시에는 Windows update를 꼭 활성화

     시작 - 제어판에서 Flash 항목을 찾아(모두 보기 하면 나옴) 업데이트 부분에 자동으로

     다운로드 및 업데이트를 활성화하여 백신 프로그램(유/무료 무관)을 설치하시고

     항상 업데이트가 잘 되나 확인
  -  Internet Explorer를 최신 버전으로 업데이트
 
 3) 메일 수신
  -  출처가 불분명한 메일 또는 메일 첨부파일의 열람으로 인해
      악성파일이 유포 될 수 있으므로 열람 시 유의
  -  기업체의 경우 상시 방역감시시스템 기능을 가지고 있는 소프트캠프 실덱스 제품으로
      메일, 인터넷, USB 등 외부 유입파일을 격리된 공간에 저장하는 V-Room과 외부 파일을

      사용자PC로 내부반입할 경우 감시대상파일로 지정하고 상시적인 모니터링과 함께

      제한구역(R-Area)로의 접근을 차단하는 솔루션인 WatchMon으로 외부 파일에 대해

      격리 검역 감시 통제차단 등의 조치를 취하게 되어 외부로부터 통제가 가능

 

<출처 : 소프트캠프 컨설팅사업부>

 

 

랜섬웨어는 국내/외 빠르게 확산되고 PC에서 모바일로 영향범위를 넓혀가고 있는 상황입니다.

점점 진화하는 랜섬웨어를 완벽히 차단하는 대안이 존재하지 않아 향후에도 많은 피해가 예상되어

피해를 예방하기 위해 위에 소개 드린 데이터 백업,

최신 보안 업데이트 등 기본 보안수칙 생활화가 필요 할 것 같습니다.