사용자 PC를 악성코드에 감염시켜 내부 주요 파일들을 암호화한 뒤 이를 풀어주는 대신 대가를 요구하는 랜섬웨어가 국내서도 등장, 각별한 주의가 필요하다.
랜섬웨어는 이미 해외에서는 수년 전부터 등장하기 시작한 공격수법이다. 시만텍, 카스퍼스키랩, 인텔시큐리티(맥아피) 등에서는 관련 피해사례를 다룬 보고서들도 내놓고 있다. 스팸메일을 보내 사용자들이 첨부파일을 클릭하도록 유도하는 방식이 많이 쓰인다는 것이 업계 설명이다.
국내도 안전 지대는 아니다. 안랩에 따르면 대표적인 랜섬웨어 중 하나인 'CTB 락커'에 대한 국내 감염사례가 접수되고 있다. 한국인터넷진흥원(KISA) 코드분석팀 임진수 팀장은 랜섬웨어를 통한 PC감염사례는 작년부터 국내에서도 나오기 시작했다며 아직은 영문이메일로 첨부파일도 doc, pdf 등과 같이 한국을 타깃한 것이라고 보기는 어려운 수준이라고 밝혔다. 이어 아직까지 한국 사용자를 노린 공격이 발견된 것은 아니지만 앞으로 확대될 것이라고 보인다며 주의를 당부했다.
시만텍이 지난해 발표한 인터넷 보안 위협 보고서에 따르면 랜섬웨어는 2013년 전년대비 5배 가량 증가했다. 지난해 10월 한 달 동안 발견된 랜섬웨어 중 시스템에 치명적인 영향을 주는 공격형 랜섬웨어가 차지하는 비중은 55%에 달했다. 이들 랜섬웨어는 중요 데이터를 암호화해 인질로 삼을 뿐만 아니라 공유파일, 네트워크 드라이브에 첨부된 파일들에게 까지 손실을 입힌다.
블루코트에 따르면 지난해 5월 대표적인 콘텐츠관리시스템(CMS) 제작툴인 워드프레스로 개발한 웹사이트들이 '크립토월'이라는 랜섬웨어에 공격을 당하기도 했다. 일반PC, 스마트폰 외에 기업의 네트워크스토리지(NAS)에 침투해 이를 인질로 삼기도 한다.
맥아피 연구소가 발간한 지난해 3분기 쓰렛 리포트는 '크립토락커'라는 랜섬웨어가 해당 분기에만 200만건이 발견됐으며, 이로 인한 피해액 역시 25만5천달러 이상인 것으로 추산했다.
더 큰 문제는 랜섬웨어 제작자들이 드롭박스, 구글 드라이브, 원드라이브 등 클라우드 기반 스토리지에 저장된 파일들까지 노릴 것으로 예상된다는 점이다.
맥아피 연구소는 클라우드 스토리지에 백업용으로 저장한 데이터까지 인질 대상이 될 수 있다고 밝혔다. 랜섬웨어를 통해 암호화된 파일들이 클라우드 기반 랜섬웨어 자체를 다른 곳에 전파시킬 수 있는 경로로 악용할 가능성이 높다는 설명이다.
공격자들이 랜섬웨어에 집중하는 이유 중 하나는 투자대비 높은 수익을 얻을 수 있다는 점 때문이다. 카스퍼스키랩은 모바일 랜섬웨어 '블로커'의 경우 공격자들이 악성코드를 구입해 배포하는 비용이 평균 1천달러에 달하지만 이를 통해 약 100명의 피해자들로부터 최소 2만달러 이상 수익을 내고 있다고 분석했다.
안랩은 PC, 스마트폰을 통한 랜섬웨어로 인한 피해를 막기 위해 3대 예방 수칙을 제시했다. 대부분 랜섬웨어가 스팸메일에 첨부된 악성 첨부파일을 통해 감염을 시도하는 만큼 출처가 불분명한 파일을 열어봐서는 안 된다.
또한 회사 업무 관련 문서나 기밀문서 등 주요 파일은 미리 백업한 뒤 관련 내용을 외부저장장치에 별도로 저장하는 것도 하나의 방법이라고 조언했다.
이와 함께 중요문서의 경우 파일 속성을 '읽기 전용'으로 설정하면 랜섬웨어를 통한 암호화 시도를 막을 수 있다. 수정이 필요할 경우에만 해당 속성을 해제하고 수정한 뒤 다시 읽기 전용으로 속성을 변경해 보관하는 방법을 활용할 수 있다는 것이다.
스마트폰의 경우 구글 플레이 스토어, 이통 3사 앱스토어 등 공식 앱스토어 외에는 다운로드를 자제하고, 문자메시지나 소셜네트워크에 포함된 악성으로 의심되는 URL 실행을 자제하고 '알 수 없는 출처(소스)'의 앱을 실행하지 않도록 설정할 필요가 있다.
관련기사
- 내년에 주목되는 보안 이슈는?2015.02.09
- 안드로이드폰 노린 랜섬웨어의 공습2015.02.09
- 온라인뱅킹 겨냥한 악성코드 2배↑2015.02.09
- 악성코드 제작자도 돈벌이에 비트코인 악용2015.02.09
랜섬웨어에 감염된 안드로이드 스마트폰의 경우 안전모드로 부팅해 설정-기기관리자(휴대폰 관리자) 메뉴에서 랜섬웨어를 포함한 악성앱을 비활성화 한 뒤 앱 목록에서 해당 앱을 제거하면 된다.
안랩 ASEC대응팀 박태환 팀장은 랜섬웨어로 암호화된 파일은 다시 복구되기 어렵고, 피해자가 공격자의 요구에 따라 대가를 지불해도 파일 복구가 된다는 보장이 없다며 기본 랜섬웨어 예방 수칙을 생활화하는 것이 중요하다고 당부했다.