"랜섬웨어, 몸값 협상 없이 복구할 수 있다"

금전 갈취를 목적으로 사용자 시스템을 잠그거나 데이터를 암호화하는 랜섬웨어 공격으로 인한 피해가 커지면서, 국제사회에서는 랜섬웨어 복구 도구를 개발·배포해 공격자를 무력화하려는 노력이 계속되고 있다. 각국 법집행기관과 IT 보안 업체들이 힘을 합쳐 운영하고 있는 '노모어랜섬' 프로젝트가 대표적이다. 이미 노모어랜섬 홈페이지를 통해 150개 이상의 랜섬웨어 복구 도구가 배포 중이다.

모든 랜섬웨어가 복구될 수 있는 것은 아니지만, 해커가 남긴 허점을 잘 이용하면 몸값을 지불하지 않고도 복호화키를 찾거나 데이터를 복구할 수 있다.

노모어랜섬의 파트너이기도 한 한국인터넷진흥원(KISA)의 이영주 연구원은 지난 16일 한국침해사고대응팀협의회가 온라인으로 개최한 기업정보보호 이슈전망 세미나에서 "해커가 취약한 암호키를 사용하거나 암호키를 허술하게 관리한 경우, 또 암호키 정보가 메모리에 남아있는 경우 복구가 가능하다"고 설명했다.

■ "렌섬웨어, 몸값 안 내도 복구 가능한 경우 있다"

KISA는 매년 랜섬웨어 암호화과정을 분석해 복구 도구를 만들어 배포하고 있다. 국제 프로젝트 노모어랜섬에 복구도구를 제공하는 어소시에이트 파트너로도 참여하고 있는데, 이는 국내 기업·기관을 통틀어 KISA가 유일하다.

이 연구원에 따르면 KISA는 랜섬웨어를 분석해 암호화에 기능적으로 취약한 부분이 있는지, 또는 메모리 내에 키 정보들이 남아 있는지 등을 확인하는 과정을 거쳐 복구 도구를 개발·배포를 하고 있다.

KISA는 최근 몇 년간 국내에서 악명을 떨친 매그니베르 랜섬웨어, 심플락커 랜섬웨어, 루사이퍼 랜섬웨어에 대한 복구 도구를 만들었다. 이 중 매그니베르와 심플락커에 대한 복구 도구가 노모어랜섬에 등록돼 배포되고 있다. 루사이퍼 복구 도구는 현재 국내에만 배포되고 있고, 올해 2분기 안에 노모어랜섬에 등록하는 게 목표다.

KISA 이영주 연구원이 국내외 랜섬웨어 복구 현황에 대해 설명하는 모습

이 연구원은 이날 크게 3가지 경우에 랜섬웨어 복구 가능성이 높다고 소개했다.

먼저, 해커가 취약한 암호키를 사용하는 경우다. 매그니베르 랜섬웨어가 이 경우에 해당한다. 이 연구원은 "암호키를 생성할 때는 시드값을 사용하거나 난수 발생기를 이용해서 무작위의 값을 사용해야 하는데, 공격자가 미숙한 경우에는 추측이 가능한 시드 값을 쓰거나 고정된 데이터로 이루어진 암호키를 사용하는 경우가 있다"며 "디버깅해 고정된 값을 추출하고 랜섬웨어 복구 도구를 만들 수 있다"고 설명했다.

해커가 암호키 관리에 미흡한 경우에도 복구 가능성이 커진다. "랜섬웨어 실행파일 내부에 실제 데이터 암호화에 사용한 암호키를 보관하고 있거나, 이 암호키 정보를 따로 별도의 파일로 저장하고 있는 경우에 그 파일을 추출해서 랜섬웨어를 복구할 수 있다"는 설명이다.

또 "암호키를 만들었을 때 사용했던 정보나 암호키 자체에 대한 정보가 메모리 내에 남아있는 경우"도 있다.

암호화키와 상관 없이 컴퓨터를 이전 상태로 되돌리는 방법이 통할 때도 있다. 그는 "보통 랜섬웨어들은 이 기능을 사용하지 못하게 명령어를 써서 삭제해버리는데, 이 기능이 그대로 남아있는 경우가 있다"고 소개했다.

■ "랜섬웨어 예방 못지않게 복구 기술도 중요"

이날 이 연구원은 "랜섬웨어 감염을 예방하고 차단하는 것 못지 않게 복구하는 기술을 발전시키는 것이 중요하다"고 강조했다. 랜섬웨어 공격이 급격하게 증가하고 수법도 진화하고 있기 때문에 모든 랜섬웨어를 완벽하게 차단하는 일이 점점 어려워지고 있기 때문이다.

한국침해사고대응팀협의회 조사에 따르면 국내 682개 기업을 대상으로 진행한 설문에서 40%가 랜섬웨어 피해를 경험한 것으로 나타났다. 이 중 7%는 실제 몸값으로 복구비를 지불했다.