사상 최대규모의 전세계적인 랜섬웨어 공격이 이루어졌다. 지난주 금요일인 5월 12일부터 주말까지 접수된 랜섬웨어 복구관련 문의 건만 벌써 3000 여건이 넘어간 상황. 이는 국내 문제에 국한 되는 것이 아니라 미국, 유럽 등도 마찬가지이다.
'워너크라이' 라는 이름으로 배포된 랜섬웨어 바이러스 공격이지만 가장 대표적인 랜섬웨어의 한 종류로 알려진 cerber ransomware에 대해서 알아보고 대책을 세워보자.
랜섬웨어란 무엇인가?
랜섬웨어는 Ransom(몸값) 과 Software 의 합성어로 사용자의 컴퓨터 내의 파일들을 알 수 없는 방식으로 코딩하여 암호화하고 복구를 위한 KEY를 금전적 대가를 요구하고 제공하는 악성 사이버 범죄 방식이다. 즉, 내 컴퓨터에 열 수 없는 형식으로 파일들이 변한다는 것이다.
랜섬웨어 증상 확인
랜섬웨어는 보통 REAE ME, HELP HELP HELP, READ THIS FILE 등의 *.txt 확장자가 감염된 파일이 존재하는 폴더 내에 생성되며 감염된 파일들은 알 수 없는 확장자 (예 : *.d678f , *.ae92, *.t78y 등) 로 암호화 되며 어떤 종류인지 랜섬웨어 확인 방법은 감염 경로 내 위의 랜섬웨어 안내 텍스트 파일 안에 적혀있다.
랜섬웨어 치료 및 복구
랜섬웨어 치료 방법은 오직 하나다. 바이러스의 감염 형태가 아닌 암호 코딩 방식의 파일 변환이기 때문에 오직 랜섬웨어 복구툴을 사용하는 방법 밖에 없다. 컴퓨터 지식이 해박한 사람이라면 직접 복구가 가능할지 모르겠지만 현재는 랜섬웨어를 배포한 해커와 국내외 랜섬웨어 복구 전문 업체들을 이용하는 방법이 있다. 하지만 대부분 해외에서 배포되어 감염되는 랜섬웨어의 특성상 해커에게 KEY 값으로 BIT COIN을 지불한다고 해서 올바른 복구 도구를 받을 수 있다는 보장이 없기 때문에 사이버 수사대나 유로폴, 백신 프로그램 업체 등에서는 해커에게 돈을 지불하지 말라고 안내하고 있다.
네티즌 사이의 화이트 해커들이 제공하는 몇몇 종류의 랜섬웨어 복구 툴이 있지만 모든 랜섬웨어에 적용 가능한 것은 아니다.
국내 대표 검색 포털에서 '랜섬웨어'를 검색하면 볼 수 있는 'The No More Ransom Project' 웹 페이지에서는 일부 랜섬웨어 복구툴을 무료로 제공하고 있지만 현재 공격한 워너크라이, CERBER RANSOMWARE 등은 포함되지 않는다.
해결 가능한 랜섬웨어는 CRYSIS, MARSJOKE/POLYGLOT, WILDFIRE, CHIMERA, TESLACRYPT, SHADE, COINVAULT, RANNOH, RAKHNI 랜섬웨어가 있다고 한다.
랜섬웨어 예방 방법
소 잃고 외양간 고치는 격이 되었지만 현재 MS에서 최신 보안패치를 제공하고 있다. 지난 주부터 자동 업데이트 내역에 중요 업데이트로 포함이 되어있다.
PC 사용자들의 보안 의식이 높지 않다보니 앞으로도 랜섬웨어 감염 사례가 많아질 것으로 보인다. 개인 컴퓨터의 경우 물질적인 피해가 많지 않을 수 있지만 랜섬웨어의 본래의 목적인 기업을 대상으로 하는 공격이 많아질 경우 국가적 피해액은 감히 예상할 수 없을 정도라는 전문가들의 견해가 있다.
국내에서 운영되고 있는 대형 정보 커뮤니티에서는 전세계적, 범국가적 공격인 만큼 앞으로 무료로 지원되는 랜섬웨어 복구툴이 등장할 때 까지 해당 파일을 따로 백업해서 보관한 후 랜섬웨어 예방을 위해 최신 보안 업데이트를 실행하고 백신 프로그램을 항상 실시간 감시하는 방향으로 권장하고 있다.
