Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

profile 보안 자료 랜섬웨어

작성자: j1159 조회 수: 131 PC모드

랜섬웨어 사용자 PC를 인질로 삼는 보안 공격

지난 2015년 4월, 인기 커뮤니티 사이트를 방문한 사용자 컴퓨터에 이상한 현상이 발생했다. 갑자기 컴퓨터 시스템에 접근할 수 없게 되거나, 저장한 사진과 문서 파일 등을 열 수 없는 일이 발생했다. PC뿐 아니라 PC에 연결된 외장형 하드디스크 드라이브(HDD), 네트워크 드라이브로 연결된 서버, 퍼블릭 클라우드 스토리지 서비스, 문서 중앙화 시스템 속 데이터까지 사용자가 모르는 사이에 잠겼다. 하루 아침에 갑자기 컴퓨터에 저장된 모든 데이터를 볼 수 없는 일이 발생했다. 이른바 ‘랜섬웨어(ransomware)’로 유명한 ‘크립토락커(CryptoLocker)’ 바이러스에 PC가 감염돼 모든 데이터가 암호화 된 탓이다.

랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤, 이를 풀어주는 대가로 금전을 요구하는 악성 프로그램이다. <출처: 트렌드마이크로>

랜섬웨어의 일종인 ‘크립토락커’에 감염된 모습. <출처: 경찰청 사이버안전국>

몸값을 요구하는 악성 프로그램

랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다.

랜섬웨어 공격 기법 <출처: 한국인터넷진흥원>

랜섬웨어는 2005년부터 본격적으로 알려지기 시작해, 2013년 들어 전 세계적으로 급증하고 있다. 랜섬웨어 공격을 받은 공공기관, 기업, 개인 PC 등이 매년 늘어나는 추세다.

이 스트소프트가 발표한 ‘2016년 랜섬웨어 동향 결산’에 따르면, 지난 2016년 1월부터 12월까지 ‘알약’을 통해 사전 차단된 랜섬웨어 공격은 총 397만 4,658건으로 나타났다. 랜섬웨어 공격은 해마다 과격해지고 위험해지면서 보안 위협도 덩달아 높아졌다.

2016년 랜섬웨어 동향 결산 <출처: 이스트소프트>

랜섬웨어 역사는 10년이 넘는다. 과거에는 주로 사용자 PC 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 식이었다. 그러나 당시엔 공격자가 걸어놓은 암호화 수준이 낮아 복호화 방법을 통해 쉽게 데이터를 복구할 수 있었다.

그러나 비트코인이 등장하고 2013년 하반기, 강력한 암호화 알고리즘으로 파일을 암호화하고 돈을 요구하는 랜섬웨어 ‘크립토락커’가 등장하면서 상황이 달라졌다.

크립토락커는 사용자 PC에 저장돼 있는 문서나 사진 파일을 공개키 암호화 방식인 ‘RSA-2048’ 로 암호화한다. 그런 다음 피해자에게 ‘암호 해독키를 원하면, 지정한 기한 안에 돈을 송금하라’고 협박한다. 공격자는 기한 안에 돈을 보내지 않으면 파일을 모두 복구할 수 없도록 만들겠다고 압박한다. 돈 역시 비트코인으로 받는 탓에 범인 추적이 어렵다.

크립토락커가 등장하면서 컴퓨터 암호화 방식이 랜섬웨어의 대세로 자리잡기 시작했다. 그러면서 보다 어려운 알고리즘으로 암호화해서 사용자 데이터를 인질로 삼는 다양한 랜섬웨어가 등장했다.

한글화 랜섬웨어까지 등장

지금까지 국내에 알려진 랜섬웨어 종류는 크립토락커 외에도 ‘테슬라크립트(TeslaCrypt)’, ‘크립트XXX(CryptXXX)’, ‘록키(Locky)’ 등 다양하다. 음성메시지를 내보내는 랜섬웨어부터 한글 파일을 암호화하는 랜섬웨어까지 공격 방법도 다양하다.

국 내에서 가장 잘 알려진 랜섬웨어 중 하나인 크립토락커는 2013년 9월 처음 발견됐다. 자동실행 등록 이름이 ‘크립토락커’로 돼 있는 것이 특징이다. 웹사이트 방문 시 취약점을 통해 감염되거나, 이메일 내 첨부파일을 통해 주로 감염된다. 일단 감염되면 사용자 PC 데이터 확장자를 ‘encrypted’ 또는 ‘ccc’로 변경하는 식으로 파일을 암호화한다. 그런 다음 암호화된 파일이 든 모든 폴더 안에 복호화 안내 파일 2종류를 생성한다. ‘윈도 볼륨 섀도우(Windows Volume Shadow)’를 삭제하기 때문에 윈도 시스템 복구가 불가능하다.

크립토락커에 감염된 모습. <출처: 알약 블로그>

테슬라크립트는 지난 2015년 국내에 많이 유포된 랜섬웨어다. 취약한 웹페이지 접속 및 이메일 내 첨부파일 등을 통해 퍼진다. 파일 확장자를 ‘ecc’, ‘micr’ 등으로 변경한다. 드라이브 이름과 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정한다. USB 메모리 같은 이동식 드라이브나 네트워크 드라이브는 감염되지 않는다.

록키는 2016년 3월 이후 이메일을 통해 퍼진 랜섬웨어다. 수신인을 속이기 위해 ‘Invoice’, ‘Refund’ 등의 제목을 사용하는 것이 특징이다. 자바스크립트 파일이 들어 있는 압축파일을 첨부하고, 이용자가 이를 실행하면 해당 시스템이 감염된다. 일단 감염되면 파일들이 암호화되고 확장자가 ‘locky’로 변한다. 바탕화면에 텍스트 파일로 복구 관련 메시지가 뜨는 것이 특징이다.

크립트XXX는 2016년 5월 국내에 모습을 드러냈다. 해외에서 한번 복호화 방법이 공개됐으나, 공격자가 이를 보완한 파일을 다시 만들었다. 한마디로 바이러스에 대비한 백신을 만들었는데, 해당 백신에 내성이 생긴 슈퍼 바이러스가 등장한 셈이다.

크립트XXX에 감염되면 파일 확장자가 ‘crypt’ 등으로 변하고, 바탕화면에 복구 안내 메시지가 뜬다. 그러면서 ‘데이터를 잃기 싫으면, 비트코인으로 대가를 지불하라’는 메시지가 뜬다.

크립트XXX에 시스템이 감염된 모습. <출처: 하우리>

말하는 랜섬웨어로 유명한 ‘케르베르(CERBER)’도 있다. 이 랜섬웨어에 감염되면 “Attention! At-tention! Attention!? Your documents, photos, databases and other important files have been encrypted”(“이봐! 이보라고!? 당신 문서, 사진, 데이터베이스와 중요한 파일들이 암호화됐어”)라는 음성 메시지가 나온다. 웹사이트 방문 시 취약점을 통해 감염되며, 감염되면 파일을 암호화 하고 확장자를 ‘cerber’로 변경한다.

이메일·문자·광고 감염 경로도 다양해

랜섬웨어는 이메일, 웹사이트, P2P 사이트 등을 통해 주로 퍼진다. 사용자 눈에 띄는 게 아니라 파일 또는 오피스 문서파일에 숨어 빈틈을 노린다. PC만 랜섬웨어에 감염되는 것은 아니다. 최근 랜섬웨어는 영역을 확장해 안드로이드 스마트폰 데이터까지 위협하고 있다.

특히 ‘신뢰할 수 없는 사이트’를 통해 랜섬웨어가 퍼지는 경우가 많다. 이 경우 단순히 홈페이지를 방문만 해도 랜섬웨어에 감염된다. 일명 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 이용해서다.

웹사이트 광고 업데이트 서버에 악성코드가 침투해 랜섬웨어를 유포한 사례. <출처: 경찰청 사이버 안전국>

드라이브 바이 다운로드는 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨기고, 이 악성코드를 사용자가 자신도 모르게 내려받아 실행해 감염되는 방식이다.

이메일도 안심할 수 없다. 출처가 불분명한 이메일, 첨부파일, 메일 웹주소(URL)를 통해 사용자 PC를 감염시키기도 한다. 사용자가 이메일을 열어보도록 유도하기 위해 마치 아는 사람인 것처럼, 알아야 하는 정보인 것처럼 제목을 달아 속이기도 한다.

이메일에 요금 청구서를 사칭하여 악성코드 첨부. <출처: 경찰청 사이버 안전국>

파일공유 서비스 ‘토렌트(Torrent)’나 웹하드 등 P2P 사이트를 통해 동영상 등의 파일을 주고받을 때도 랜섬웨어에 감염될 가능성이 높다.

최근에는 페이스북이나 링크드인 같은 사회관계망 서비스(SNS)를 이용해 사용자 PC를 감염시키는 경우가 있다. 해당 SNS 올라온 단축 URL이나 사진을 이용해 랜섬웨어를 유포하는 식이다.

데이터 백업은 필수

현재 창궐하고 있는 랜섬웨어는 50종이 넘는다. 랜섬웨어 유포 방식도 이메일, 메신저, SNS 등 다양하다. 모든 랜섬웨어로부터 완벽하게 컴퓨터를 지킬 수 있는 방법은 없다. 철저한 예방만이 내 PC와 데이터를 지킬 수 있다.

경찰청 사이버안전국에 따르면, 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 정기적으로 백업 또는 클라우드 서버에 업로드해야 한다. 이메일에 첨부된 파일은 지인이 보냈거나 단순 문서 파일이어도 섣불리 실행하지 않는 것이 좋다. 특히 요청한 자료가 아니면 유선 등으로 발신자와 확인 후 실행해야 한다. 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, 토렌트 등을 통해 내려받은 파일을 실행할 때도 주의해야 한다. 백신 소프트웨어를 설치하고, 항상 최신 버전을 유지하는 게 중요하다. 교과서 같은 얘기지만, 가장 높은 예방법이다.

그럼에도 불구하고 랜섬웨어에 PC가 감염됐다면, 경찰청은 당황하지 말고 다음과 같은 조치를 취하라고 권고한다.

1. 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단.
2. 인터넷선과 PC 전원 차단.
3. 증거 보존 상태에서 신속하게 경찰에 신고.
4. 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료 요청.
5. 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용.
6. 평소 해킹 상담, 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터(http://www.krcert.or.kr, 전화 118)에서 서비스 제공.

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

sonagisky

2017.03.10 09:09
가입일: 2019:09.24
총 게시물수: 3
총 댓글수: 190

좋은 정보 감사합니다. ^^*

profile

Bobono

2017.03.10 09:14
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

shaula

2017.03.10 09:54
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

한번만 방심해도....ㅠㅠ

profile

프리네

2017.03.11 03:17
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정보 감사합니다. 저희 회사도 이 문제로 망분리 PC를 도입키로 검토중이네요.

profile

무무심

2017.03.12 19:53
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

profile

닭토레이

2017.03.17 10:46
가입일:
총 게시물수: 0
총 댓글수: 104

랜섬웨어 걸려봤는데, 복구해준다는 업체들 전부 가관이더군요. 100% 복구도 안되면서 금액은 100부르길래 그냥 포맷했던 기억이있습니다

profile

다누리

2017.03.21 17:16
가입일:
총 게시물수: 2
총 댓글수: 163

정말 무섭네요..

profile

hallasan

2017.04.09 19:26
가입일:
총 게시물수: 0
총 댓글수: 375

감사합니다.

profile

세계일주

2017.09.28 22:18
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

좋은 정보 고맙습니다.

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
345 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file + 3 파란하늘 11-07 424
344 보안 소식 네트워크를 통해 퍼지는 Bad Rabbit 랜섬웨어, 우크라이나와 러시아 공격 중 + 7 티오피 10-27 214
343 보안 소식 로키봇- 삭제 시도 하면 랜섬웨어로 변신하는 뱅킹 트로이목마 + 5 티오피 10-25 234
342 보안 소식 카스퍼스키, 신뢰를 얻기 위해 백신 소스 코드 공개해 + 6 티오피 10-25 237
341 보안 소식 구멍 뻥 뚫린 무선랜…사용자 대처법은 + 10 티오피 10-24 302
340 보안 소식 패치 되지 않은 마이크로소프트 DDE 익스플로잇, 광범위한 악성코드 공격에 사용 돼 + 4 티오피 10-24 178
339 보안 소식 [긴급] 신종 랜섬웨어 ‘마이랜섬’ 출현 + 4 덕애 10-21 237
338 보안 소식 풀린 자물쇠 데누보, 게임 출시 ‘하루 만에’ 줄줄이 불법복제 + 5 인어공주 10-20 240
337 보안 소식 트럼프의 DMZ 방문 두고 시끌시끌 file + 4 따봉 10-19 155
336 보안 소식 에퀴팩스 피해자 수, 1억 4,450만 명으로 늘어 file + 5 따봉 10-19 187
335 보안 소식 “ATM에 든 현금 다 뽑아내는” 멀웨어, 다크 웹에서 판매 중 file + 5 따봉 10-19 209
334 보안 소식 마인크래프트 스킨 앱에서 신종 멀웨어 ‘삭봇’ 발견 file + 5 따봉 10-19 177
333 보안 소식 보안 담당자들이여, 잠들어 있는 우뇌를 깨워라 file + 5 따봉 10-19 158
332 보안 소식 기업의 최대 위협 스피어피싱 위협 인텔리전스’로 대응하라 file + 5 따봉 10-18 153
331 보안 소식 야옹이로 옆집 와이파이 해킹할 수 있다옹 file + 5 따봉 10-18 1103
330 보안 소식 KISA 직원, 경품 당첨 위해 악성코드 빼돌렸다 적발 file + 5 따봉 10-18 157
329 보안 소식 신종 랜섬웨어 ‘마이랜섬’ 출현...제2의 케르베르 공포 시작되나 file + 5 따봉 10-18 152
328 보안 소식 하나투어’ 100만건 이어 화장품 쇼핑몰 ‘뷰티퀸’까지 고객정보 털렸 file + 5 따봉 10-18 133
327 보안 소식 가상화폐 거래소 코인이즈, 해킹 보상대책도 주소도 오리무중? + 6 빽이 10-15 238
326 보안 소식 인공지능의 위협보다 '오류 가능성' 더 걱정해야 + 5 덕애 10-14 256
325 보안 자료 고급 정보보안 강좌 + 5 덕애 10-12 295
324 보안 소식 해킹 여부는 보안사항 + 5 덕애 10-12 231
323 보안 소식 공공 와이파이 해킹 위협 높다 + 6 덕애 10-12 288
322 보안 소식 해커, 악성 코드로 ATM 기기에서 현금 인출 + 6 우오아아아웅 10-03 323
321 보안 소식 지난 4년간 개인‧정부기관에 확인된 악성코드만 19,000여 건, 매년 급증 + 4 우오아아아웅 10-03 298