상세 컨텐츠

본문 제목

한국판 랜섬웨어 '크립토락커'를 아시나요?

Guide/이용자 피해 예방 정보

by SK브로드밴드 2015. 5. 7. 13:42

본문

안녕하세요. 여러분을 위한 IT비타민, SK브로드밴드 Blog지기입니다. 모아두었던 추억들이 담긴 사진, 열심히 작성했던 문서들처럼 PC에 저장되어 있던 모든 소중한 파일들이 한 순간에 사라지게 된다고 생각한다면 정말 아찔한데요, 최근 한글판 랜섬웨어 ‘크립토락커(CryptoLocker)’가 국내에 유포되고 있어 이용자들의 각별한 주의가 요구된다고 합니다. 전례 없던 한글판 크립토락커의 등장으로 한국사람들을 타겟으로 한 맞춤형 공격이 진행될 것이 예상되고 있는 악성코드 크립토락커, 오늘은 Blog지기와 함께 랜섬웨어 크립토락커에 대해 자세히 알아보시는 시간을 가져보도록 하겠습니다. :-D

 

랜섬웨어는 컴퓨터 사용자의 개인정보나 중요한 데이터를 인질로 잡고 돈을 요구하는 악성코드로 Ransom(몸값)+Ware(물건)의 합성어인 랜섬웨어라고 불리는데요, ‘크립토락커(CryptoLocker)’는 랜섬웨어의 일종으로 볼 수 있습니다. 크립토락커는 랜섬웨어 중에서도 가장 최신의 바이러스로, 사이버 경찰청이나 국내 바이러스 연구소에서도 뚜렷한 대안을 내놓지 못하고 있는 상황입니다. 크립토락커는 문서들을 모두 암호화시켜 사용자가 데이터에 접근하는 것을 제한시키기 때문에 사용자는 이를 없애려면 악성코드 개발자에게 돈을 지불해야 합니다. 하지만 개발자에게 돈을 지불한다고 해서 암호화된 파일이 복구되지 않는 경우가 허다하다고 합니다. 한국인터넷진흥원(KISA)에서는 국내의 랜섬웨어 감염사례가 속출하면서 “안랩, 이스트소프트, 하우리, 트랜드마이크로 등 국내외 백신회사와 공조해 악성코드 샘플 공유, 유포지와 경유지 차단 등의 조치를 취한 상태”라고 밝혔으며 전문가들은 예방에 각별히 신경을 써야 할 것이라고 말하고 있습니다.

 

 

일단 크립토락커에 감염이 되면 PC에 저장되어 있는 파일들은 복잡한 알고리즘으로 암호화되어 열리지 않게 되는데요, 이 암호들은 풀기 어려운 기법으로 암호화 되어있기 때문에 해독은 사실상 불가능하다고 볼 수 있습니다. 잠겨있는 파일을 열면 4일 안에 비트코인으로 결제해 암호 해독 유도를 하는 팝업창이 뜨게 됩니다. 감염된 PC사용자들이 암호화 해제를 위해서는 1.84338 비트코인(한화 약 44만원)을 크립토락커 측이 명시한 비트코인 주소로 송금을 해야 하는데요, 요구한 금액을 지불해도 데이터를 복구해준다는 보장이 없어 전문가들도 결제를 하지 말라고 당부하고 있습니다. 이번 한글판 크립토락커가 노리는 파일은 docㆍxlsㆍpptㆍhwp 등 주요 문서 파일, 디지털 카메라나 스마트폰으로 촬영된 jpg 사진파일, zipㆍrar 같은 압축 파일 등 우리가 흔히 쓰는 모든 파일이라고 합니다. 회사 컴퓨터에 크립토락커 악성코드가 침투한다면 손 쓸 수도 없이 중요한 문서들이 모두 날아가버리고, 개인 컴퓨터 또한 그 동안 모아둔 사진이나 문서들을 다신 열 수 없는 상황에 이르게 된다고 하니 더욱 주의를 요하는 악성코드입니다.

 

이번 한글판 랜섬웨어 크립토락커는 지난 4월 21일 새벽 무렵부터 국내 모바일 관련 인터넷 커뮤니티 사이트 ‘클리앙’의 인터넷 익스플로러와 플래시 구 버전의 취약점을 악용하여 유포된 것으로 전해집니다. 클리앙 운영자에 따르면 21일 새벽 1시 38분부터 오전 11시 12분까지 클리앙이 바이러스에 감염되었고, 별도로 운영되고 있는 광고서버를 통해서 크립토락커가 대거 유포되었습니다. 정확하게 집계되진 않았지만 약 2천명에서 1만명에 가까운 사용자들이 바이러스에 노출된 것으로 추정됐고, 수백 여명이 피해를 호소했다고 전했습니다. 특히 드라이브 바이 다운로드(DBD, Drive by Download) 공격 방식으로 웹사이트나 브라우저의 플러그인 보안 취약점을 이용하기 때문에 별도의 프로그램을 설치하지 않고, 감염된 사이트를 방문하기만 해도 무차별적으로 감염이 된다고 합니다. 23일에는 시코(SeeCo), 디씨인사이드(dcinside) 등의 커뮤니티 또한 공격을 받아 국내 사이트들에 대한 무차별적 공습이 이뤄지고 있습니다. 하지만 여기에서 그치지 않고 분산서비스거부(DDoS) 공격 기능까지 갖춘 변종 랜섬웨어의 형태로 퍼지고 있는데요, 사용자의 인터넷 브라우저를 몰래 자동 실행해 디도스 공격을 하는 ‘코드 삽입 방식’으로 동작하며 악성코드가 파일형식으로 만들어지지 않았기 때문에 백신 탐지기능을 피하며 일반 백신으로는 이런 변종 랜섬웨어를 잡지 못한다고 합니다. 보안 전문가들은 크립토락커에 감염되기 전에 예방에 각별히 신경 써야 한다고 강조했습니다.

 

트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 온라인뱅킹 정보탈취 악성코드 P2PZeus와 파일을 암호화한 뒤 몸값을 요구하는 CrytoLocker에 감염되었는지 검사하고 위협 발견 시 제거할 수 있는 온라인 보안 프로그램입니다. 사용하고 있는 윈도우 시스템에 따라 32비트, 64비트로 파일을 다운받을 수 있습니다. (트렌드마이크로 바로가기)

이 프로그램은 설치 과정 없이 실행 파일만 클릭하면 바로 사용할 수 있는 포터블 버전으로 편리하게 사용이 가능한데요, 홈페이지에서 32비트 또는 64비트를 선택하고 ‘I Accept’ 버튼을 누르면 ‘THREAT CLEAN 32.exe’ 또는 ‘THREAT CLEAN 64.exe’ 파일이 다운로드 됩니다. 트렌드마이크로 위협 제거 툴을 실행하기 전에 먼저 윈도우를 재부팅하고 ‘F8’을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을 합니다. 그 다음 설치된 트렌드마이크로 위협 제거 툴 파일을 실행합니다.

안전모드에서 트렌드마이크로 위협 제거 툴을 실행하게 되면 프로그램 우측에 있는 Scan Now 버튼을 보실 수 있는데요, 이 버튼을 누르면 크립토락커 감염 검사가 시작됩니다. 또한 온라인뱅킹 정보탈취 악성코드 P2PZeus의 검사도 가능합니다. 

트렌드마이크로 위협 제거 툴 프로그램의 검사 시간은 보통 20~30분 소요되는데요, 컴퓨터 시스템과 사용 환경에 따라 조금씩 차이가 있다고 합니다.

검사가 끝난 화면입니다. 만약 바이러스나 악성코드가 검색되었다면 제거한 뒤에 노말 모드로 재부팅하면 크립토락커 랜섬웨어의 제거는 완료됩니다.  

크립토락커 치료 프로그램을 이용하면, 감염된 컴퓨터에서 크립토락커를 제거할 수는 있지만 감염된 파일을 복구하는 것은 어려운 상황입니다. 하지만 FireEye(파이어아이)와 Fox IT에서 암호화된 파일을 풀 수 있는 복원화 서비스를 제공하고 있다고 합니다. 사용방법도 간단한데요, 우선 자신의 이메일 주소를 입력하고 크립토락커에 감염된 파일을 첨부합니다. 그러면 입력했던 메일로 해독키와 리커버리 프로그램 다운로드 링크를 받을 수 있다고 합니다. 단, 감염된 파일 당 하나의 해독키가 있기 때문에 여러 파일이 감염되었을 경우 이 과정을 여러 번 반복해야하는 번거로움이 있습니다. 소개해드린 두 가지 방법으로 크립토락커 제거와 복구가 대부분 가능하지만 무엇보다 ‘예방’을 잘 하는 것이 중요합니다. 그럼 랜섬웨어 크립토락커의 예방법을 하나씩 알아볼까요?

 

랜섬웨어의 피해를 최소화하기 위한 예방법은 크게 세 가지로 요약할 수 있습니다. 첫 번째로는 운영체제와 각종 응용프로그램을 보안 업데이트하는 것입니다. MS OS 업데이트를 포함하여 인터넷 익스플로러, 자바, 플래쉬 등 대표적 프로그램들은 항상 업데이트를 하여 최신 버전을 유지합니다. 이번 한글판 랜섬웨어의 공격에서도 크롬이나 파이어폭스 같은 보안이 강화된 웹브라우저를 사용한 유저들은 위험을 피할 수 있었는데요, 대부분의 바이러스들은 윈도우 운영체제와 인터넷 익스플로러의 취약점을 악용해 침투하기 때문에 보안이 강회된 운영체제와 웹브라우저를 사용하는 것도 하나의 예방법이 될 수 있습니다. 두 번째는 중요한 문서와 파일을 백업해두는 습관입니다. PC에 안티 바이러스 프로그램을 깔아놨다고 해서 랜섬웨어를 피해갈 수 있을 거라는 안심은 할 수 없습니다. 외장하드나 이동식 디스크 등 제3의 저장장치를 이용해 중요한 파일을 수시로 백업시켜둔다면 나중에 파일들이 손상되더라도 백업 시켜둔 파일로 인해 그 피해를 최소화할 수 있습니다. 세 번째, 출처가 불분명한 메일은 실행하지 않습니다. 보안기업 안랩에서는 랜섬웨어 대부분이 스팸메일을 통해 확산된다고 하는데요, 발신인이 확인되지 않으면서 사용자의 호기심을 이끄는 메일 제목일 경우 스팸성 메일로 의심하며 클릭하지 않고 삭제하는 것이 좋으며, 지인의 메일이라도 한 번 더 확인합니다. 또한 중요한 문서의 경우에는 ‘읽기전용’으로 읽으며 수상한 웹사이트의 방문은 자제하는 것이 좋습니다.

 

랜섬웨어는 인터넷 익스플로러6, 7등 구버전 사용률이 높고 보안의식이 취약한 국내 환경을 노린 바이러스이기 때문에 운영 체제의 최신버전 유지나 백신 프로그램으로 기본적 보완조치만 한다면 문제될 것이 없다고 합니다. 오늘 Blog지기가 알려드린 예방법으로 PC 관리 잘 하셔서 랜섬웨어 크립토락커의 위험으로부터 소중한 PC를 지키시길 바랍니다. 그럼 지금까지 SK브로드밴드 Blog지기였습니다. 

 

 

관련글 더보기

댓글 영역