더 악랄해진 ‘사이버 인질 강도’ 랜섬웨어
- 정락인 객원기자 (sisa@sisajournal.com)
- 승인 2019.02.27 13:19
‘사이버 강도’로 불리는 랜섬웨어의 공격이 갈수록 교묘해지고 있다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없게 만든 뒤, 풀어주는 대가로 금전을 요구하는 악성 프로그램이다.
지난 2005년부터 서서히 알려지기 시작했고, 지금은 전 세계의 골칫거리가 됐다. 개인뿐 아니라 기업, 공공기관 등을 무차별 공격하면서 매년 엄청난 피해를 야기한다. 랜섬웨어에 감염되면 복원이 거의 불가능하다. 돈을 지불해도 복원되기보다는 오히려 금전적 피해만 입을 수 있다.
랜섬웨어의 공격에 맞서 사이버 보안 프로그램도 한층 강화되고 있다. 하지만 랜섬웨어의 공격이 교묘하고 악랄하게 진화하면서 각종 보안 프로그램을 무기력하게 만들고 있다.
초창기 랜섬웨어는 주로 사용자 PC 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 수법이었다. 당시에는 공격자가 걸어놓은 암호화 수준이 그리 높지 않았다. 랜섬웨어 공격을 받더라도 복호화 방법을 통해 데이터를 쉽게 복구할 수 있었다. 이때만 해도 피해가 크지는 않았다.
하지만 2013년 9월 ‘초강력 렌섬웨어’가 등장한다. 강력한 암호화 알고리즘을 사용한 이른바 ‘크립토락커’(CryptoLocker)다. 이것은 사용자 PC에 저장돼 있는 문서나 사진 파일을 공개키 암호화 방식으로 암호화한다. PC뿐 아니라 PC에 연결된 외장형 하드디스크 드라이브(HDD), 네트워크 드라이브로 연결된 서버까지 잠가버린다. 컴퓨터에 저장된 모든 데이터를 볼 수 없게 만드는 것이다. 내 컴퓨터를 내 마음대로 못 하는 ‘마비’ 상태가 된다.
피해자가 당황해할 때 공격자는 ‘이걸 풀려면 지정한 기한 안에 돈을 송금하라’고 협박한다. 그리고 돈은 추적이 어려운 ‘비트코인’으로 받는다. 이후 새로운 암호키로 무장한 랜섬웨어들이 속속 등장하고 공격 방법도 다양해졌다. 최근 악명을 떨치고 있는 랜섬웨어는 ‘갠드크랩’(GandCrab)이다. 진화를 거듭해 온 새로운 변종으로 국내에서 가장 활발하게 유포되고 있다. 랜섬웨어는 영역을 확장해 안드로이드 스마트폰 데이터까지 위협하고 있다. 유포 방식도 이메일, 메신저, SNS 등 다양하다.

사회적 이슈에 맞게 상황 설정
랜섬웨어는 사람의 감성을 파고드는 지능적인 수법으로 더욱 교묘해졌다. 사회적 이슈와 분위기에 맞는 상황을 설정해 컴퓨터 사용자가 파일을 열어 보지 않을 수 없게 만들고 있다. 한순간에 꼼짝없이 당할 수밖에 없는 현실이다.
이메일을 통한 랜섬웨어의 공격은 탄복할 정도다. 신호위반을 했다며 ‘교통 범칙금 납부 고지서’란 제목의 이메일을 보내거나 ‘입사지원서’를 가장하기도 한다. 저작권 관련 이미지를 무단 사용했다고 겁을 주며 메일을 보내고 첨부파일을 열어 보라고 유도한다. 온라인 명예훼손으로 고소당했으니 경찰에 출석해 조사를 받으라는 이메일도 무차별 살포되고 있다. 메일이나 첨부된 파일 등을 여는 순간 사용자 컴퓨터는 악성코드에 감염된다.
보안업계에 따르면 상반기 채용 시즌이 다가오면서 입사지원서를 가장한 랜섬웨어 공격이 기승을 부리고 있다. 타깃은 기업의 인사담당자다. 특정 개인정보가 담긴 입사지원서를 사칭하는데, 마치 취업준비생이 보낸 메일처럼 위장하고 있다. 실제로 채용 중인 특정 직군에 지원하는 것처럼 이력서를 꾸미기 때문에 인사담당자로서는 무심코 파일을 열어 보게 된다.
이메일 본문에는 첨부파일 실행을 유도하는 내용이 포함돼 있다. 첨부된 압축 파일 내부에는 문서 파일(.doc), 이미지 파일(jpeg), 링크 파일(.lnk), 파워포인트 파일(.ppt) 등이 있는데, 이걸 클릭하면 악성 파일이 실행된다. 그런 다음 사용자 PC에 있는 파일들을 감염시키면서 암호화를 진행한다.
작업을 하지 않는데도 심한 발열과 함께 시스템이 느려지거나 하드디스크 같은 저장 매체가 쉴 새 없이 돌면 감염을 의심해야 한다. 때로는 지능적으로 일정한 간격을 주면서 암호화 작업을 하는 경우도 있다. 악성코드 감염이 진행되는 동안에도 사용자를 속이기 위해 화면에는 정상 문서 파일이 나타나는 것이다.
이후 랜섬웨어 동작이 완료되면 바탕화면에 감염 사실을 알리는 문구가 뜬다. 또 PC에 저장된 파일이 암호화되고 임의의 문자열로 확장자가 변경된다. 그런 다음 공격자는 PC 사용자에게 복호화를 조건으로 암호화폐를 요구한다.
요즘 소셜네트워크서비스(SNS)가 활성화되면서 저작권 분쟁도 늘어났다. 이와 관련한 랜섬웨어도 활개치고 있다. 블로그 활동을 활발하게 하는 A씨는 얼마 전 ‘저작권을 위반했다’는 메일을 받았다가 낭패를 당할 뻔했다. 다행히 첨부파일을 열지 않아 랜섬웨어 피해는 입지 않았다고 한다. A씨에게 메일을 보낸 사람은 자신을 ‘장명옥 작가’라고 소개하면서 ‘저작권 관련 이미지 무단사용 안내’라고 알렸다.
내용에는 “현재 제작한 이미지들을 동의 없이 이용하고 있다”며 저작권법에 문제가 있다고 은근히 겁을 줬다. 그런 다음 본인도 그런 식으로 다른 작가의 이미지를 사용한 적이 있다면서 자신이 제작한 이미지와 메일을 받는 사람이 저작권을 위반한 이미지를 함께 보낼 테니 검토해 보고 조치해 달라고 요구했다.
그러면서 ‘egg’로 된 첨부파일을 붙여 ‘원본 이미지’와 메일을 받는 사람이 저작권을 위반했다는 ‘사용 이미지’를 함께 보냈다. 이런 메일을 받은 사람 대부분은 첨부파일을 열어 자신이 무단 도용한 이미지가 무엇인지 확인하려고 하기 때문에 ‘아차’ 하는 순간 악성코드에 감염되는 것이다. 물론 ‘장명옥’이라는 작가는 해커들이 만들어낸 허구의 인물이다.
공격받은 피해자들에게 메일을 보낸 발신자는 ‘박혜윤 작가’ ‘김진영 작가’ ‘임진주 작가’ 등의 이름도 있었다. 이 중에는 실제 작가로 활동하는 이름도 검색되고 있어 쉽게 속아 넘어갈 수밖에 없다.

경찰서 출석요구서 위장해 공격
B씨는 최근 ‘성북경찰서 출석요구서’라는 제목의 이메일을 받았다. 깜짝 놀란 B씨가 메일을 열어 봤더니 경찰마크가 새겨진 ‘온라인 명예훼손 관련 출석통지서’라면서 ‘신분증과 도장 등을 가지고 경찰서로 출석하라’는 내용이었다. 그러면서 ‘3월1일까지 출석하거나 서면제출을 하지 않으면 불이익을 받을 수 있다’고 경고했다. 해당 이메일의 발신인은 ‘성동경찰서’, 발신 주소는 ‘helpdesk@sungbukpolice.com’이었다. 첨부파일에는 ‘출석요구서.rar’ 파일이 붙어 있었다.
B씨는 첨부파일을 열기 전 포털사이트에 ‘경찰서 출석요구서 메일’을 검색해 본 후에야 ‘랜섬웨어’라는 것을 알 수 있었다. 경찰서를 사칭한 ‘출석요구서’ 이메일은 최근 무차별 살포되기 시작하면서 피해자도 급증하고 있다.
메일에 첨부된 출석통지서 파일을 내려 받아 실행하면 컴퓨터는 먹통이 된다. 공격자는 암호를 풀고 컴퓨터를 복구하려면 가상화폐로 1300달러를 송금하라며 일주일 안에 돈을 보내지 않으면 송금 요구액이 2배로 오른다고 엄포를 놨다.
경찰청은 “지난 2월10일부터 울산지방경찰청, 서울 각 경찰서, 부산 남부경찰서, 인천 미추홀경찰서, 대구 달서경찰서, 수원 남부경찰서 등 15개 경찰관서를 사칭한 악성 이메일이 해외에서 국내로 유포되고 있다”며 각별한 주의를 당부했다.
현재 경찰은 출석 요구 시 이메일을 사용하지 않는다. 조사 대상자의 주소지에 우편물을 보내거나 본인과 전화로 통화해 출석 일정을 조율하고 있다. 이 때문에 ‘이메일 출석요구서’는 모두 가짜라고 보면 된다. 또한 경찰의 공식 이메일 주소는 ‘ID@police.go.kr’이며, 해커가 보낸 이메일 계정은 ‘허위 이메일’이다. 경찰청은 “수집된 이메일 등 디지털 증거 분석과 국제공조수사를 통해 유포자를 추적 중에 있다”고 밝혔다.
- 정락인 객원기자 (sisa@sisajournal.com)
- 승인 2019.02.27 13:23
랜섬웨어 공격에서 내 검퓨터를 안전하게 지키는 방법은 없을까. 보안 전문가들은 ‘철저한 예방’과 ‘주의’를 당부한다.
먼저 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 별도 보관해야 한다. 정기적으로 백업을 하거나 클라우드 서버에 업로드해 놓으면 랜섬웨어에 감염돼도 피해를 최소화할 수 있다.

모든 수신 이메일은 열어 보기 전에 제목이나 수신자 등을 꼼꼼하게 살펴봐야 한다. 지인을 사칭하는 메일도 적지 않기 때문이다. 메일을 열었더라도 첨부된 파일은 섣불리 실행하지 않는 것이 좋다. 가급적 발신자와 전화통화 등으로 확인한 후 실행해야 안전하다. 메신저나 문자메시지 등에 첨부된 링크(바로가기)도 마찬가지다. 파일을 실행하기 전 백신 프로그램을 이용해 악성 여부를 확인해야 한다.
또 안정성이 불확실한 웹사이트 방문은 가급적 자제해야 한다. 컴퓨터에 백신 소프트웨어를 설치하고, 항상 최신 버전을 유지해야 더 안전하다. 모르는 사람이나 의심 가는 이메일을 받았을 때는 제목을 포털사이트에서 검색해 관련 피해가 있는지 확인하는 것이 좋다.
그럼에도 랜섬웨어에 PC가 감염됐다면 어떻게 해야 할까. 랜섬웨어에 감염되면 외장하드나 공유폴더도 함께 암호화되기 때문에 신속하게 연결을 차단해야 한다. 인터넷 선을 컴퓨터에서 분리하고 PC 전원도 꺼야 한다.
이런 다음 증거를 보존한 상태에서 경찰에 신고해야 한다. 경찰에서 피해 증거를 조사한 후에는 하드디스크를 분리한 후 보안 전문업체를 통해 치료를 받아야 한다. 감염된 PC는 포맷 후 최신 백신 프로그램을 설치한 후에 사용해야 한다. 해킹 상담이나 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터(www.krcert.or.kr, 전화 118)에서 서비스를 제공받을 수 있다.
계속되는 랜섬웨어 위협, 간편하면서도 강력한 예방법은 없을까
- AhnLab
- 2019-02-27
예전보다 기세가 약해졌다는 소문(?)과는 달리 여전히 매일같이 랜섬웨어 소식이 들려온다. 실제로 안랩 시큐리티 대응센터(AhnLab Security Emergency response Center)가 지난 2018년 한 해 동안 수집한 샘플 및 감염 보고 건수를 확인한 결과, 랜섬웨어는 여전히 압도적인 비중을 차지하고 있다.
물론, 암호화폐를 직접 채굴하는 마이너 악성코드의 비율이 좀 더 많다지만 사용자들에게는 전히 랜섬웨어가 요주의 대상이다. 일주일이 멀다 하고 변종이 나타나기 때문이기도 하지만, 안보이는 곳에서 PC 자원을 갉아먹는 마이너 악성코드보다 눈 앞에서 파일을 암호화하고 바탕화면에 경고문(랜섬 노트)를 내미는 랜섬웨어가 더 당혹감을 주기 때문이다.
(*이미지 출처: shutterstock.com)
랜섬웨어, 무엇이 우리를 두렵게 하는가
다른 악성코드와 마찬가지로 랜섬웨어 감염 경로는 한 두 가지가 아니다. 이메일 첨부 파일, 공유 사이트, 온라인 광고 페이지를 비롯해 최근에는 구글 검색 결과 페이지를 통해 랜섬웨어에 감염되는 사례가 발생했다. 또 웹사이트에 접속만 해도 자동으로 PC에 랜섬웨어가 설치되는 경우도 많다.
이제 많은 사람들이 알고 있는 것처럼, 일단 랜섬웨어에 감염되고 나면 해결할 방법이 딱히 없다. 일부 랜섬웨어 대해 복구툴이 제공되고는 있지만, 다양한 랜섬웨어 변종에 대응하기에는 역부족이다. 상황이 이렇다 보니 일부 피해자들은 공격자가 요구하는 대로 돈(가상화폐 등)을 보내고 만다. 문제는 돈을 보냈다고 해서 공격자가 암호화된 파일을 복구하는 키를 준다는 보장은 없다는 것이다.
이처럼 랜섬웨어 위협이 몇 년 간 계속되자 일부 사용자들이 더 강력한 랜섬웨어 예방을 위해 기존에 설치한 백신(Anti-Virus) 프로그램 외에 다른 백신 프로그램을 추가로 설치하거나 여러 랜섬웨어 대응 툴을 설치해 사용하고 있다. 문제는 이로 인해 오히려 PC의 성능이 저하되거나 프로그램들간의 충돌로 인해 장애가 발생하는 경우도 적지 않다.
그렇다고 그저 손 놓고 랜섬웨어에 감염될까 전전긍긍할 수 많은 없는 일. 이에 안랩은 더 쉽고 강력하게 랜섬웨어를 예방할 수 있도록 최근 자사 개인용 무료 백신인 V3 Lite와 안티랜섬웨어 툴을 하나로 통합한 신규 업데이트를 발표했다.
새로워진 V3 Lite, 악성코드 치료는 물론 랜섬웨어 예방까지 한 번에!
안랩은 지난 2월 26일, 랜섬웨어 대응을 위한 신규 기능을 추가하고 사용자 환경(UI)를 최신 스마트 기기 환경에 최적화한 새로운 V3 Lite를 발표했다.
기존 V3 Lite에도 랜섬웨어 대응을 위한 다양한 기술과 기능이 적용되어 있었다. 대표적으로 미끼 파일로 랜섬웨어를 유인하는 ‘고스트 디코이(Ghost Decoy)’ 기술과 중요한 파일을 사용자가 지정한 폴더에 저장해 랜섬웨어의 접근을 방지하는 ‘랜섬웨어 보안폴더’가 그것이다.
여기에 더욱 적극적인 랜섬웨어 대응을 위해 그 동안 별도의 베타(Beta) 프로그램으로 제공하던 신·변종 랜섬웨어 탐지 및 격리 프로그램 ‘안티랜섬웨어 툴’을 V3 Lite에 통합했다. 가상화 기술을 이용한 랜섬웨어 정밀 검사 기능을 V3 Lite에서 직접 이용할 수 있게 된 것이다.
랜섬웨어 정밀 검사 기능은 ASD(AhnLab Smart Defense, 클라우드 기반 분석 시스템)가 의심 파일로 분류한 파일이 사용자 PC에 들어오면 별도의 가상 공간에 격리해 한 차례 더 검사한다. 이를 통해 기존에 비해 더욱 신속하고 정확하게 신•변종 랜섬웨어까지 차단할 수 있다.
산뜻해진 V3 Lite, 편리함으로 첫 화면을 채우다
V3 Lite의 모습(UI)도 확 달라졌다. 사용자가 좀 더 자신의 PC 상태를 즉각적으로 파악할 수 있도록 중요한 정보만 간추려 메인 화면에 배치한 것이다.
무엇보다 앞서 살펴본 랜섬웨어 대응 관련 기능을 이용하는 방법이 간편해졌다. V3 Lite 신규 버전의 메인 화면 왼쪽에 보이는 ‘안티랜섬웨어’ 메뉴를 클릭하면 랜섬웨어 정밀 검사 기능과 랜섬웨어 보안폴더 기능을 이용할 수 있다.
이 밖에도 사용자 경험 분석을 통해 가장 많이 사용하는 기능을 전진 배치해 사용 편의성을 향상시켰다. 사용자들이 가장 많이 이용하는 기능인 PC 최적화, 빠른 검사, 원클릭(One Click) 검사 등을 메인 화면에 배치하고, PC 관리 등의 메뉴도 첫 화면에서 즉시 이용할 수 있도록 구성했다.
또 기존의 검은색 화면 대신 화이트를 메인 컬러를 중심으로 초록, 주황, 빨강 등 세 가지 색으로 PC 보안 상태를 직관적으로 표현했다.
안랩은 현재 새로운 V3 Lite 사용을 희망하는 사용자들을 우선으로 신규 버전을 제공하고 있다. 사용 중인 PC 환경을 비롯해 다양한 사용자 상황을 고려한 것이다. V3 Lite 신규 버전을 이용하려면 아래 링크에서 설치 파일을 다운로드하면 된다. 기존에 V3 Lite 제품을 사용하고 있다면 신규 버전의 설치가 진행되면서 기존 버전을 삭제하라는 메시지가 나타난다. 이때 캡챠 코드를 입력하게 되는데, 이는 최근 일부 랜섬웨어가 V3 프로그램 삭제를 시도하는 것을 방지하기 위한 것이다.
새로운 V3 Lite에 적용된 다양한 기술 및 기능에 대한 상세한 정보는 안랩 홈페이지에서 확인할 수 있다.
안랩은 V3 Lite에 이어 올해 하반기부터 개인용 프리미엄 백신인 V3 365 클리닉과 기업용 V3 제품군에도 순차적으로 신규 랜섬웨어 대응 기능과 UI를 적용해 나갈 예정이다.
한편, 대한민국 대표 백신인 V3가 최근 글로벌 평가 기관으로부터 ‘최우수 성능 보안 솔루션’으로 선정됐다. AV-TEST가 주최한 ‘2018 AV-TEST 어워드’에서 V3 인터넷 시큐리티 9.0(V3 Internet Security 9.0)이 ‘최우수 성능상(Best Performance)을 수상했다. 국내 백신 제품 중 AV-TEST에서 최우수 제품상을 수상한 것은 V3가 최초다.
'안철수연구소' 카테고리의 다른 글
‘디지털 노마드’에 대한 이상과 현실 (0) | 2019.03.15 |
---|---|
키오스크 시대의 명과 암 (0) | 2019.03.07 |
‘컴알못’을 위한 컴퓨터 사양 원포인트 레슨 (0) | 2019.02.21 |
5G 초연결사회와 디지털 블랙아웃 (0) | 2019.01.31 |
C드라이브에 사용 가능한 공간이…간단히 해결하자! (0) | 2018.12.27 |