'사이버 인질' 랜섬웨어, 한국서도 현실로

일반입력 :2015/04/22 14:14    수정: 2015/04/22 14:43

손경호 기자

다른 나라 혹은 남들 얘기로만 여겼던 랜섬웨어가 한국에서도 생각보다 가까이 와 있다는 것을 실감케한 사건이 최근 발생했다.

회사 직원 중 한 명이 확장자가 '.cab'로 된 이메일 첨부파일을 클릭했다가 PC에 저장된 파일들이 암호화되는 사태가 발생한 것이다. 퇴근 무렵 소식을 듣고, 한국인터넷진흥원(KISA)에 문의해봤으나 일단 암호화가 진행되면 복구할 방법을 찾기가 어렵다는 답변이 돌아왔다.

이전까지 악성코드는 감염되더라도 어느 정도 피해에 대한 복구가 가능했지만 사용자 PC에 저장된 주요 문서들을 암호화한 뒤에 이를 풀어주는 댓가로 돈을 요구하는 랜섬웨어는 실제로 돈을 주든 그렇지 않든 복구가 힘들다는 점에서 '악질범'으로 꼽힌다.

최근 하우리에 따르면 랜섬웨어의 일종인 '크립토락커'의 한글버전까지 등장해 국내 주요 비트코인거래소를 통해 돈을 입금하라고 요구하는 모습도 등장했다. 페이스북 아이콘을 위장한 램섬웨어까지 등장하고 있는 실정이다.

실제로 국내 유명 IT커뮤니티 클리앙 사용자들이 피해를 입는 사례도 나왔다. 클리앙은 긴급공지를 통해 21일 새벽1시38분~오전11시12분까지 클리앙 서버와는 독립적으로 운영되는 광고서버를 통해 랜섬웨어가 유포돼 해당 광고서버 운영을 중단한다고 밝혔다. 공격자가 광고서버의 관리자권한을 획득한 뒤 악성코드를 삽입해 유포한 것으로 확인됐다. 문제는 이러한 방식의 공격은 해당 웹사이트에 방문하는 것만으로도 악성코드에 감염되는 '드라이브바이다운로드' 수법을 쓰고 있었다는 점이다. 인기 웹사이트가 이런 공격에 노출된다면 수많은 랜섬웨어 피해자들이 속출할 수 있다.

이스트소프트 알약 블로그에 따르면 랜섬웨어로 인한 피해를 최소화하기 위해 중요한 파일들을 백업해놓고, 수정할 필요가 없는 중요 문서파일들은 파일-우클릭-속성으로 들어가 읽기전용으로 체크해야 한다. 네트워크 폴더를 사용할 경우 해당 폴더에 대해 읽기권한만 부여해 피해가 확산되지 않도록 주의해야한다.

또한 클리앙 광고서버에 악용된 드라이브바이다운로드 수법을 쓴 랜섬웨어의 피해를 막기 위해 어도비플래시, 인터넷익스플로러, 자바 등을 최신 버전으로 업데이트하고, 운영체제(OS) 역시 최신 버전을 유지해야 한다.

만약 랜섬웨어에 감염돼 주요 파일이 암호화됐을 경우 먼저 윈도에 적용된 시점복구 기능을 사용해 이전 시점으로 복구해 보는 것이 첫번째다. 몇몇 중요파일들에 대해서만이라도 복구하고 싶다면 '쉐도익스플로러'라는 파일복구툴을 써보는 것도 방법이다.

관련기사

KISA는 안랩, 이스트소프트, 하우리, 트렌드마이크로 등 국내외 백신회사들과 공조해 악성코드 샘플공유, 유포지 및 경유지 차단 등 조치를 취하고 있으며, 변종 랜섬웨어와 악성코드 유포지가 추가로 발생할 수 있다며 사용자들에게 주의를 당부했다.

KISA 코드분석팀 임진수 팀장은 인터넷 이용자는 감염예방을 위해 인터넷익스플로러 및 플래시플레이어 등에 대한 최신 보안업데이트를 하고, PC 내 중요한 문서는 백업해 두는 습관이 필요하며, 보안업체에서 제공하는 안티 익스플로잇 도구를 활용하는 것도 도움이 될 수 있다고 밝혔다. 이어 그는 웹사이트 관리자의 경우 웹사이트 방문자 PC가 복구 불가능한 큰 피해를 입을 수 있으므로 자사의 웹서버 보안에 각별히 신경을 써야한다고 덧붙였다.