큐냅 NAS 노린 랜섬웨어 'Q로커' 사기 주의보

데이터를 볼모로 몸값을 요구하는 악성코드, 랜섬웨어가 PC가 아닌 NAS(네트워크 저장장치)로 눈을 돌렸다. NAS에 업무용 파일이나 대용량 데이터를 저장하고 있다면 운영체제 업데이트 등 주의가 필요하다.

이달 중순 등장한 랜섬웨어인 Q로커(Qlocker)는 시놀로지, 에이수스토어(Asustor) 등과 함께 대만 내 주요 NAS 업체로 꼽히는 큐냅(QNAP) 제품을 노린다.

이 랜섬웨어에 감염되면 저장된 모든 파일에 암호를 걸어 압축한 다음 몸값을 요구한다. 그러나 피해를 입어도 함부로 전원을 끄거나 재부팅하지 않는다면 이를 복구할 수 있는 가능성이 커진다.

■ 기계적 문제 보완한 NAS "보안이 더 큰 문제"

HDD(하드디스크 드라이브) 한 개에만 대용량 데이터를 담아 두면 시간이 지날수록 기계적인 고장이 발생할 가능성이 커진다. 특히 최근에는 HDD 내부에 저장 가능한 용량이 10TB 이상으로 늘어났다. HDD가 고장나면 데이터 손실로 더 큰 피해를 볼 수 있다.

NAS는 이런 문제를 보완해 2개 이상의 HDD에 데이터를 분산해 저장하고 문제가 발생해도 빠른 시간 안에 복구할 수 있도록 설계된 저장장치다. 리눅스 등 운영체제를 이용해 여러 기기에서 쉽게 데이터를 공유할 수 있는 것도 장점이다.

단 기계적 문제보다는 내장 운영체제나 이를 이용한 응용프로그램의 보안상 위험이 더 커진다는 것이 문제다. 특히 수 TB 단위의 데이터 저장이 가능한 제품 특성상 대용량 사진·동영상, 혹은 다년간 업무에 활용한 파일이 손상된다면 큰 피해를 입는다.

■ 저장된 모든 파일 압축 후 암호 설정

이달 중순 등장한 악성코드인 Q로커와 에코레익스(eCh0raix)도 큐냅 NAS에 포함된 리눅스 운영체제와 애플리케이션의 약점을 파고 든다.

큐냅과 보안 전문매체 블리핑컴퓨터에 따르면, 이들 악성코드는 각종 사진이나 동영상을 관리할 수 있는 소프트웨어인 '멀티미디어 콘솔', 그리고 이를 스트리밍하는 데 필요한 '미디어 스트리밍 애드온'의 약점을 이용해 내부에 침투한다.

내부 침투에 성공하면 운영체제에 내장된 압축 프로그램인 7집(7-Zip)을 이용해 내부에 저장된 파일을 모두 압축하고 비밀번호를 건다. 이 과정에서 파일 전송이 느려지거나 접속이 지연되는 등 증상이 나타날 수 있다.

모든 작업이 끝나면 NAS 내부에는 온전한 문서 파일이나 사진 파일 대신 암호가 걸린 7집 파일(*.7z)만 남는다. 파일을 복구하려면 0.01비트코인(27일 현재 약 60만원)을 내고 비밀번호를 발급 받아야 한다.

■ 파일 암호화되어도 복구 가능성 있다

Q로커 등으로 인한 피해 사례가 늘자 큐냅은 고객지원 웹사이트를 통해 "모든 이용자들은 NAS에 즉시 악성코드 제거 프로그램을 설치하고 스캔 기능을 활용해 악성코드를 제거하라"고 권고했다.

또 운영체제는 물론 문제가 된 멀티미디어 콘솔, 스트리밍 애드온, 하이브리드 백업 등 소프트웨어도 최신 버전으로 업데이트하라고 당부했다.

모든 파일의 암호화가 끝났다 해도 NAS의 전원을 끄거나 재부팅해서는 안된다. NAS 내부에 존재하는 로그 파일에 암호화에 쓰인 비밀번호가 남아 있기 때문이다. 만약 피해를 입었다면 큐냅 고객지원센터에 연락해 복구 방법을 안내 받아야 한다.

■ 스냅샷·이중 백업·PC 보안 강화 등 필요

또 다른 NAS 제조사인 시놀로지는 "현재 문제가 된 Q로커처럼 저장된 파일을 암호화하는 랜섬웨어 피해 사례는 발견되지 않았다"며 "NAS 운영체제를 최신 버전으로 업데이트하고 제조사 권고에 따라 보안 설정을 점검하는 것이 가장 좋은 방법"이라고 설명했다.

관련기사