한국판 랜섬웨어 '크립토락커' 피해와 예방법

추억들이 담긴 사진, 열심히 작성했던 문서들처럼 PC에 저장되어 있던 모든 소중한 파일들이 한 순간에 사라지게 된다면?

한글판 랜섬웨어 ‘크립토락커(CryptoLocker)’가 국내에 유포되고 있어 이용자들이 피해를 입었던 적이 있습니다. 전례 없던 한글판 크립토락커의 등장으로 한국사람들을 타겟으로 한 맞춤형 공격이 진행되었던 악성코드 크립토락커.

랜섬웨어 크립토락커에 대해 자세히 알아보시는 시간을 가져보도록 하겠습니다. 

 

랜섬웨어는 컴퓨터 사용자의 개인정보나 중요한 데이터를 인질로 잡고 돈을 요구하는 악성코드로 Ransom(몸값)+Ware(물건)의 합성어인 랜섬웨어라고 불리는데요. ‘크립토락커(CryptoLocker)’는 랜섬웨어의 일종으로 볼 수 있습니다. 

크립토락커는 랜섬웨어 중에서도 가장 최신의 바이러스로, 사이버 경찰청이나 국내 바이러스 연구소에서도 뚜렷한 대안을 내놓지 못하고 있는 상황입니다. 크립토락커는 문서들을 모두 암호화시켜 사용자가 데이터에 접근하는 것을 제한시키기 때문에 사용자는 이를 없애려면 악성코드 개발자에게 돈을 지불해야 합니다. 하지만 개발자에게 돈을 지불한다고 해서 암호화된 파일이 복구되지 않는 경우가 허다하다고 합니다. 한국인터넷진흥원(KISA)에서는 국내의 랜섬웨어 감염사례가 속출하면서 “안랩, 이스트소프트, 하우리, 트랜드마이크로 등 국내외 백신회사와 공조해 악성코드 샘플 공유, 유포지와 경유지 차단 등의 조치를 취한 상태”라고 밝혔으며 전문가들은 예방에 각별히 신경을 써야 할 것이라고 말하고 있습니다.

 

 

일단 크립토락커에 감염이 되면 PC에 저장되어 있는 파일들은 복잡한 알고리즘으로 암호화되어 열리지 않게 되는데요. 

이 암호들은 풀기 어려운 기법으로 암호화 되어있기 때문에 해독은 사실상 불가능하다고 볼 수 있습니다. 

잠겨있는 파일을 열면 4일 안에 비트코인으로 결제해 암호 해독 유도를 하는 팝업창이 뜨게 됩니다. 감염된 PC사용자들이 암호화 해제를 위해서는 1.84338 비트코인을 크립토락커 측이 명시한 비트코인 주소로 송금을 해야 하는데요. 요구한 금액을 지불해도 데이터를 복구해준다는 보장이 없어 전문가들도 결제를 하지 말라고 당부하고 있습니다. 

이번 한글판 크립토락커가 노리는 파일은 docㆍxlsㆍpptㆍhwp 등 주요 문서 파일, 디지털 카메라나 스마트폰으로 촬영된 jpg 사진파일, zipㆍrar 같은 압축 파일 등 우리가 흔히 쓰는 모든 파일이라고 합니다. 회사 컴퓨터에 크립토락커 악성코드가 침투한다면 손쓸 수도 없이 중요한 문서들이 모두 날아가버리고, 개인 컴퓨터 또한 그 동안 모아둔 사진이나 문서들을 다신 열 수 없는 상황에 이르게 된다고 하니 더욱 주의를 요하는 악성코드입니다. 

트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 온라인뱅킹 정보탈취 악성코드 P2PZeus와 파일을 암호화한 뒤 몸값을 요구하는 CrytoLocker에 감염되었는지 검사하고 위협 발견 시 제거할 수 있는 온라인 보안 프로그램입니다. 사용하고 있는 윈도우 시스템에 따라 32비트, 64비트로 파일을 다운받을 수 있습니다. (트렌드마이크로 바로가기)

이 프로그램은 설치 과정 없이 실행 파일만 클릭하면 바로 사용할 수 있는 포터블 버전으로 편리하게 사용이 가능한데요. 홈페이지에서 32비트 또는 64비트를 선택하고 ‘I Accept’ 버튼을 누르면 ‘THREAT CLEAN 32.exe’ 또는 ‘THREAT CLEAN 64.exe’ 파일이 다운로드 됩니다. 트렌드마이크로 위협 제거 툴을 실행하기 전에 먼저 윈도우를 재부팅하고 ‘F8’을 눌러 윈도우 부팅 옵션에서 ‘안전모드 with 네트워크’로 부팅을 합니다. 그 다음 설치된 트렌드마이크로 위협 제거 툴 파일을 실행합니다.

안전모드에서 트렌드마이크로 위협 제거 툴을 실행하게 되면 프로그램 우측에 있는 Scan Now 버튼을 보실 수 있는데요. 이 버튼을 누르면 크립토락커 감염 검사가 시작됩니다. 또한 온라인뱅킹 정보탈취 악성코드 P2PZeus의 검사도 가능합니다. 

트렌드마이크로 위협 제거 툴 프로그램의 검사 시간은 보통 20~30분 소요되는데요, 컴퓨터 시스템과 사용 환경에 따라 조금씩 차이가 있다고 합니다.

검사가 끝난 화면입니다. 만약 바이러스나 악성코드가 검색되었다면 제거한 뒤에 노말 모드로 재부팅하면 크립토락커 랜섬웨어의 제거는 완료됩니다.  

크립토락커 치료 프로그램을 이용하면, 감염된 컴퓨터에서 크립토락커를 제거할 수는 있지만 감염된 파일을 복구하는 것은 어려운 상황입니다. 

하지만 FireEye(파이어아이)와 Fox IT에서 암호화된 파일을 풀 수 있는 복원화 서비스를 제공하고 있다고 합니다. 사용방법도 간단한데요, 우선 자신의 이메일 주소를 입력하고 크립토락커에 감염된 파일을 첨부합니다. 그러면 입력했던 메일로 해독키와 리커버리 프로그램 다운로드 링크를 받을 수 있다고 합니다. 단, 감염된 파일 당 하나의 해독키가 있기 때문에 여러 파일이 감염되었을 경우 이 과정을 여러 번 반복해야하는 번거로움이 있습니다. 

소개해드린 두 가지 방법으로 크립토락커 제거와 복구가 대부분 가능하지만 무엇보다 ‘예방’을 잘 하는 것이 중요합니다. 그럼 랜섬웨어 크립토락커의 예방법을 하나씩 알아볼까요?

 

랜섬웨어의 피해를 최소화하기 위한 예방법은 크게 세 가지로 요약할 수 있습니다. 

첫 번째로는 운영체제와 각종 응용프로그램을 보안 업데이트하는 것입니다. 

MS OS 업데이트를 포함하여 인터넷 익스플로러, 자바, 플래쉬 등 대표적 프로그램들은 항상 업데이트를 하여 최신 버전을 유지합니다. 이번 한글판 랜섬웨어의 공격에서도 크롬이나 파이어폭스 같은 보안이 강화된 웹브라우저를 사용한 유저들은 위험을 피할 수 있었는데요, 대부분의 바이러스들은 윈도우 운영체제와 인터넷 익스플로러의 취약점을 악용해 침투하기 때문에 보안이 강회된 운영체제와 웹브라우저를 사용하는 것도 하나의 예방법이 될 수 있습니다. 

두 번째는 중요한 문서와 파일을 백업해두는 습관입니다. 

PC에 안티 바이러스 프로그램을 깔아놨다고 해서 랜섬웨어를 피해갈 수 있을 거라는 안심은 할 수 없습니다. 외장하드나 이동식 디스크 등 제3의 저장장치를 이용해 중요한 파일을 수시로 백업시켜둔다면 나중에 파일들이 손상되더라도 백업 시켜둔 파일로 인해 그 피해를 최소화할 수 있습니다. 

세 번째, 출처가 불분명한 메일은 실행하지 않습니다. 

보안기업 안랩에서는 랜섬웨어 대부분이 스팸메일을 통해 확산된다고 하는데요. 발신인이 확인되지 않으면서 사용자의 호기심을 이끄는 메일 제목일 경우 스팸성 메일로 의심하며 클릭하지 않고 삭제하는 것이 좋으며, 지인의 메일이라도 한 번 더 확인합니다. 또한 중요한 문서의 경우에는 ‘읽기전용’으로 읽으며 수상한 웹사이트의 방문은 자제하는 것이 좋습니다.

 

랜섬웨어는 인터넷 익스플로러 구버전 사용률이 높고 보안의식이 취약한 국내 환경을 노린 바이러스이기 때문에 운영 체제의 최신버전 유지나 백신 프로그램으로 기본적 보완조치만 한다면 문제될 것이 없다고 합니다. 

PC 관리 잘 하셔서 랜섬웨어 크립토락커의 위험으로부터 소중한 PC를 지키시길 바랍니다.