랜섬웨어(Ransomware) - 파일을 인질로 하는 랜섬웨어 공격

랜섬웨어(Ransomware) - 파일을 인질로 하는 랜섬웨어 공격

이번 포스팅은 랜섬웨어에 대해 하겠습니다. 최근 랜섬웨어라는 보안 공격이 유행하고 있습니다. 뉴스에도 나올 만큼 강력한 랜섬웨어의 등장도 있었습니다. 랜섬웨어란 무엇이고 어떤 방식으로 공격하는지에 대해서 포스팅 하도록 하겠습니다. 랜섬웨어는 여러가지 컴퓨터의 기술이 들어가 있으므로 전부 설명 하도록 하겠습니다. 암호화나 복호화같은 기본적인 개념을 모르면 이해하기 어려울 수도 있습니다.

 

랜섬웨어

설명

랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어입니다.

 

말 그대로 해석한다면 몸값 소프트웨어 입니다. 랜섬웨어는 사용자의 PC의 파일 및 데이터를 암호화하고 암호화한 파일을 다시 사용할 수 있도록 복호화 해줄테니 돈을 달라고 하는 것입니다.

 

랜섬웨어는 2005년부터 본격적으로 알려지기 시작해, 2013년 들어 전 세계적으로 급증하고 있습니다. 랜섬웨어 공격을 받은 공공기관, 기업, 개인 PC 등이 매년 늘어나는 추세입니다.

 

랜섬웨어 역사는 10년이 넘습니다. 과거에는 주로 사용자 PC 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 식이었습니다. 그러나 당시엔 공격자가 걸어놓은 암호화 수준이 낮아 복호화 방법을 통해 쉽게 데이터를 복구할 수 있었습니다.

 

그러나 비트코인이 등장하고 2013년 하반기, 강력한 암호화 알고리즘으로 파일을 암호화하고 돈을 요구하는 랜섬웨어 ‘크립토락커’가 등장하면서 상황이 달라졌습니다.

 

크립토락커는 사용자 PC에 저장돼 있는 문서나 사진 파일을 공개키 암호화 방식인 ‘RSA-2048’로 암호화합니다.

 

암호화 되었다는 메세지

그런 다음 피해자에게 ‘암호 해독키를 원하면, 지정한 기한 안에 돈을 송금하라’고 협박합니다. 공격자는 기한 안에 돈을 보내지 않으면 파일을 모두 복구할 수 없도록 만들겠다고 압박합니다. 돈 역시 비트코인으로 받는 탓에 범인 추적이 어렵습니다.

 

 

크립토락커가 등장하면서 컴퓨터 암호화 방식이 랜섬웨어의 대세로 자리잡기 시작했습니다. 그러면서 더 해독하기 어려운 알고리즘으로 암호화하기 시작했습니다.

 

지금까지 국내에 알려진 랜섬웨어 종류는 여러가지 입니다. 테슬라크립트, 크립트XXX, 록키, Cerber, CryptoLocker 등이 있습니다. 대부분의 랜섬웨어들의 이름은 파일의 확장자로 구분합니다. 랜섬웨어에 걸리고 나면 파일의 확장자가 변하게 되는데 locky, xxx, ecc, encrypted등 여러가지 랜섬웨어에 따라 여러가지 확장자가 있습니다.

 

그 전까지는 크래커들이 바이러스, 웜 등을 만든다고 해서 돈을 벌 수 있는 것은 아니었습니다. 하지만 이제는 파일을 암호화하고 돈을 요구합니다.

 

한번 걸리기만 한다면 복호화 할 수 있는 방법이 없기 때문에 돈을 지불하고 복호화를 받는 것이 가장 좋은 방법입니다. 하지만 돈을 지불해도 복호화가 100%된다는 보장이 없기 때문에 걸리지 않도록 예방하는 것이 더 중요합니다.

 

랜섬웨어를 감염시키는 방법에는 여러 가지가 있습니다. 대부분은 익스플로이트 킷을 이용해 취약점을 파고들어 악성코드를 실행하는 방식을 취합니다. 또한 인터넷의 광고 페이지를 해킹하여 악성코드를 심고 광고를 클릭만 해도 악성코드에 감염되는 등 무서운 환경이 되었습니다.

 

최근 (워너크라이 랜섬웨어)

가장 최근에 뉴스에 나왔던 워너크라이에 대해 설명하도록 하겠습니다. 2017년 5월 12일부터 등장한 랜섬웨어 입니다. 뉴스에 나왔던 이유는 전세계 99개국의 컴퓨터 12만대 이상을 감염시켰기 때문입니다. 감염된 컴퓨터에 다른 랜섬웨어와 같이 비트코인을 지불하면 복호화 시켜준다는 메세지를 남겼습니다.

 

워너크라이 랜섬웨어는 2017년 4월 14일 The Shadow Brokers라는 해커그룹이 공개한 이터널블루라는 윈도우의 파일공유에 사용되는 서버 메세지 블록(SMB) 원격코드 취약점을 악용한 것입니다.

 

이메일 첨부파일과 같은 일반적인 유포 경로가 아닌 인터넷 네트워크에 접속만해도 감염됩니다. 이러한 방식 때문에 더 많은 PC가 감염되었습니다. 이메일 첨부파일은 누르지 않으면 그만이지만 네트워크에 접속만하면 바로 감염되는 랜섬웨어를 막을 수 없었습니다.

 

이러한 이터널블루 취약점은 Microsoft에서 보안업데이트를 배포하였으며, 보안 업데이트를 잘 하였다면 감염되지 않았을 것입니다. 특히 Windows XP 와 7 버전이 취약점을 가지고 있다고 알려져 있으며 상위 버전은 평소에 윈도우즈 업데이트와 백신의 업데이트 등으로 예방할 수 있다고 합니다.

 

업데이트를 하지 않았어도 윈도우즈 방화벽에서 SMB 포트만 차단하여도 충분히 막을 수 있다고 합니다.

 

2019/12/31 - [IT] - Windows7 지원종료 일시, windwos 10 업그레이드 방법

Windows7 지원종료 일시, windwos 10 업그레이드 방법

 

워너크라이 사이버 공격으로 스페인의 텔레포니카와 영국의 국민 건강 서비스(NHS), 페덱스, 도이체반 등의 대기업이 피해를 보았습니다. 이와 동시에 다른 99개국에서도 수많은 컴퓨터가 공격 대상이 되었다고 보도되었습니다.

 

러시아 내무부, 러시아 방위부, 러시아 통신사 메가폰 역시 감염 피해를 보았고, 대략 23만대의 컴퓨터가 이 랜섬웨어에 감염되어 피해를 입은 것으로 추정됩니다.

 

 

익스플로이트 킷(exploit kit)

웹 브라우저의 취약점 등 미들웨어나 운영체제의 취약점을 이용하여 공격해 사용자가 실행하였을 때 악성코드를 실행할 수 있도록 도와주는 도구를 말합니다.

 

익스플로이트 킷에는 여러 종류가 있으며 어둠의 시장에서는 판매하고 있다고 합니다. 종류로는 Rig kit, Angler, Sweet-Orange Exploit kit, CK_VIP등 많은 익스플로이트 킷이 존재합니다.

 

암호화

데이터 전송 시 타인의 불법적인 방법에 의해 데이터가 손실되거나 변경되는 것을 방지하기 위해 데이터를 변환하여 전송하는 방법입니다. 대칭형 암호화 방식의 비밀키 암호화기법과 비대칭형 암호화 방식의 공개키 암호화 기법이 있습니다.

 

 

공개키 암호화 방식

요즘 랜섬웨어에 사용되는 암호화 방식은 대부분 공개키 암호화 방식입니다. 공개키 암호화 방식이란 공개키와 비밀키 두 개의 키를 사용하는데, 공개키를 이용해서 암호화하고 비밀키를 이용해서 복호화 합니다.

 

공개키를 이용해서는 복호화 할 수 없습니다. 때문에 여러 사람이 공유하는 공개키가 유출되어도 아무런 문제가 발생하지 않습니다.

 

원래는 이러한 컨셉으로 보안성을 높이기 위해 만들어진 암호화 방식입니다. 하지만 현재 랜섬웨어에서는 이러한 보안성을 악용하여 암호화를 풀지 못하도록 만들었습니다.

 

 

대칭키 암호화 방식

암호화 할 때 사용한 키와 암호를 해독할 때 사용하는 키가 같은 암호화 방식입니다.

 

따라서 비밀키(=대칭키) 암호화 방식은 키가 유출된다면 심각한 보안의 위험성이 생길 수 있습니다. 처음에 랜섬웨어들이 이러한 대칭형 암호화 방식을 쓰다가 점점 공개키 암호화 방식을 사용한 이유는 대칭키 암호화 방식은 사용자의 파일을 암호화 할 때 키가 노출될 수 있는데 키가 노출된다면 다시 복호화 시킬 수 있기 때문입니다.

 

2020/02/25 - [IT/정보보안] - 랜섬웨어 치료 방법, 갠드크랩 치료, 복호화 툴

랜섬웨어 치료 방법, 갠드크랩 치료, 복호화 툴

랜섬웨어 예방

랜섬웨어는 예방이 중요하다고 말합니다. 걸리면 답이 없기 때문입니다. 비트코인을 지불하고 복호화 툴을 받는 것이 가장 현실적인 방법입니다.

 

괜히 혼자 복구하려고 노력하다가 암호화된 파일을 아예 복구조차 못하게 될 수도 있습니다. 아니면 암호화된 파일이라도 백업을 받아 놓는 것이 좋습니다. 나중에 기술이 좋아져서 공개키로 암호화 되어 있는 파일도 복호화 할 수 있을지도 모릅니다.

 

예방하는 가장 좋은 방법은 PC에 깔려있는 플래시, Adobe Reader와 같은 프로그램을 업데이트 하여 최신버전으로 유지하고, Windows 업데이트를 통해 운영체제도 최신상태를 유지해야 합니다.

 

또한 백신프로그램을 설치하고 백신 프로그램도 최신 버전을 유지하는 것이 중요합니다.

 

요즘 상용으로 나와있는 백신 프로그램 중에는 랜섬웨어를 차단해주는 백신도 있으니 다운받아 사용하면 좋을 것 같습니다.

 

또한 PC를 주기적으로 백업하는 것이 중요합니다. 또한 웹페이지 접속 시 안전한 사이트인지 확인하고 안전하지 않거나 모르는 사이트는 들어가지 않도록 하는 것이 좋습니다.

 

 

 

▼ 도움이 되셨다면 공감 또는 댓글을 남겨주시면 작성자에게 힘이 됩니다.

▼ 문의사항 댓글도 환영합니다.