랜섬웨어

1 개요[편집]

노턴에서 제작한 30초 랜섬웨어 설명 영상


랜섬웨어란 몸값을 뜻하는 ransom과 소프트웨어를 뜻하는 ware가 합쳐져 만들어진 단어이며 국내에는 2010년대 중반부터 돌기 시작했다.

이 악성코드에 감염되면 컴퓨터의 파일들이 암호화되며니 기지 다 내꺼다요, 몸값을 내면 암호화를 풀어주겠다는 텍스트라 출력된다. 요구하는 몸값은 한국에서 가장 최근에 문제가 된 크립토락커가 40만 혹은 50만원. 몸값을 내면 인질이 된 자료를 풀어줄...리가 없다. 감염된 파일의 복원 성공률은 겨우 약 3%에 불과하다.

2015년 5월 1일 컴퓨터 백신 업체 안랩에 따르면 디도스 기능이 추가된 변종 랜섬웨어도 발견됐다고 한다.[1] 또한 스마트폰 등 모바일 기기를 대상으로 한 랜섬웨어도 발견됐다.[2]

2 증상[편집]

랜섬웨어에 감염되면, 한동안 CPU 사용량이 미친 듯이 치솟으며[3] 하드디스크를 읽는다. 그리고 있는 대로 메모리를 끌어쓰기 시작하는데, 종류에 따라서는 일정한 간격을 주면서 처리하여 사용자가 컴퓨터의 이상을 쉽게 눈치채기 힘들게 만드는 경우도 있다.

그 다음에는 컴퓨터 성능과 용량에 따라 달라지지만 보통 10분에서 1~2시간 사이에 전체 파일 찾기를 실행한다. 보통 C&C 서버에서 RSA 공개키를 받아온 다음 파일 데이터들을 전체 검색하듯이 찾기 시작한다.

이렇게 파일 목록과 RSA 공개키가 확보되면 파일 각각에 대한 AES 키를 매번 생성하여 파일을 암호화하기 시작한다. 파일 내용을 암호화하고 파일로 다시 쓸 때, 보통 이 때 사용한 AES 키를 아까 서버에서 받아온 RSA 공개키를 이용해서 암호화하여 같이 저장한다. 따라서 공격자만 갖고 있는 비밀키가 있어야 이 AES 키를 알아내서 복호화를 할 수 있다.

마지막으로, 암호화가 완료되었다면 폴더마다 파일을 복구하고 싶으면 돈을 지불하라는 HTML 파일, 텍스트 파일, 이미지 파일을 생성한다. 경우에 따라서는 바탕 화면 배경이 해당 이미지 파일로 변경되는 경우도 있다. 또 이 순간부터 중요한 시스템 프로그램이 열리지 않는다. 만약 프로그램이 열리지 못하는 것을 참지 못 하고 바로 재부팅한다면 운영체제가 아예 부팅조차 되지 않는 일이 발생한다. 그렇게 되면 운영체제를 다시 설치할 수밖에 없으며, 그렇게 되면 파일을 복구할 수 있는 기회를 영원히 날려버리게 된다.

3 피해 사례[편집]

플래시 플레이어인터넷 익스플로러의 보안취약점을 악용한 사례가 많은데, 이 두 가지가 조합되는 외부 광고를 단 사이트에서 피해 사례가 많이 발견된다.

  • 2015년 4월 21일 커뮤니티 사이트 클리앙에서 광고배너를 통해 랜섬웨어가 유포되었다.
  • 2015년 7월경, 만화가·만화업체들 사이에서 랜섬웨어 피해를 입는 일이 속출했다. 일부 작가는 그간 작업물이 모두 암호화되는 큰 피해를 입기도 했다.[4]
  • 2016년 6월 3일부터 6월 7일까지 커뮤니티 사이트 뽐뿌에서 광고배너를 통해 CryptXXX 계열 랜섬웨어가 유포되었다.[5]
  • 2017년 5월 경 윈도우 SMB 취약점을 통해 워너크립터 변형 랜섬웨어가 유포되었다. 기존 랜섬웨어가 보안이 취약한 사이트에 자리잡고 희생자가 들어오는 것을 기다렸다면, 워너크립토 변형은 SMB 서비스를 통해 자신을 스스로 유포한다는 것이 특징.
  • 2017년 6월 웹호스팅 업체가 랜섬웨어 공격을 받아 수많은 사이트가 마비에 빠지는 사건이 일어났다.[6]

4 종류[편집]

5 예방법[편집]

'몸값'을 지불해도 복구될 확률이 극히 낮은 만큼 예방이 유일한 대책이다. 사실 기본 보안수칙만 잘 지켜도 피해를 최소화할 수 있다.

일반 사용자
  • 스팸성 이메일·첨부파일 실행 자제
  • 중요 파일을 외장 하드디스크 및 다른 컴퓨터에 백업하기
  • 수상한 웹사이트 방문 자제
    • 꼭 방문해야 할 경우 애드블록 사용
  • OS 및 사용 프로그램 업데이트
  • 보안 소프트웨어 사용
서비스 제공 업체 및 IT 관리자
  • 패치 등 보안 관리 철저 : 클리앙이 이 부분이 미흡하여 크립토락커 변종 유포의 진원지가 된 적이 있다.
  • 자사의 SW 취약점이 악성코드 유포에 활용되지 않도록 관리 강화

6 만일 걸리면?[편집]

시간이 좀 지난 랜섬웨어는 보안업체 등에서 암호화 해제 열쇠를 배포하니, 그걸 기다리는 수밖에 없다. 글로벌 프로젝트 〈노모어랜섬〉에서 열쇠를 찾을 수 있다.

다만 공격자가 더 이상의 공격을 중단하고 마스터키를 배포하는 경우도 있는데, TeslaCrypt의 경우가 이에 해당된다. 참고

7 참고[편집]

8 각주

  1. 안랩, 디도스 기능 추가된 변종 랜섬웨어 주의당부, 안랩, 2015.05.01.
  2. 최신 모바일 랜섬웨어 앱 및 대응 방안, 안랩, 2015.07.07.
  3. 이때 반응형 쿨링을 하는 노트북 등은 쿨러 소음이 커진다. 청각적인 신호.
  4. 웹툰 업체 및 작가들 사이에 퍼지는 랜섬웨어 주의보, 피해를 예방하시길 바라며, 웹툰인사이트, 2015.07.18.
  5. CryptXXX 계열 UltraCrypter( Cryp1, Crypz )랜섬웨어 확산, 한국랜섬웨어침해대응센터, 2016.06.07.
  6. '고객사 1만여 개' 웹호스팅 업체, 랜섬웨어 감염, SBS, 2017.06.10.