지난번에는 랜섬웨어 대응책에 대해 알아보았는데요.. 오늘은 더 중요한 예방법에 대해 살펴보겠습니다.

 

랜섬웨어는 무료 파일 다운로드 및 공유 사이트는 물론 이메일을 통해 진행되기도 하며 광고창 클릭, 유튜브 영상 다운로드, 뉴스 기사, 링크 주소 등으로 침투되고 있습니다. 대부분 불법적인 경로, 확인되지 않은 사이트, 취약한 사이트에서 유입되는 게 대부분인데요. 다양한 경로를 열어두고 침투하기 때문에 컴퓨터를 사용하는 중 무분별한 다운로드 및 접속을 피하시는 것이 가장 쉬운 예방법입니다.

 

[이미지출처 : Pixabay]


또 다른 예방법은 PC의 운영체제 및 응용 프로그램, 백신 등을 최신 버전으로 업데이트해 최상의 상태를 유지하는 것입니다. 랜섬웨어는 일반적으로 보안 취약점을 악용해 시스템에 유입되기 때문에 응용 프로그램, 백신 등을 최신 버전으로 유지하는 것이 매우 중요합니다. 또한 악성코드 감지가 가능한 크롬, 네이버 웨일, 파이어폭스 같은 웹 브라우저를 이용해 접속하는 것이 바람직하며, 무분별한 파일 다운로드 및 접속을 피하는 것이 랜섬웨어를 예방하는 최선의 방법입니다.

 

[이미지출처 : Pixabay]


또한 예방법 못지않게 가장 중요한 것은 백업입니다. 가치가 있다고 생각되는 자료는 사용자 스스로 지키시는 것이 바람직하기 때문이죠. 저장 매체를 이용해 여러 개의 백업본을 만들어 보관하는 것이 필요합니다. 랜섬웨어는 C 드라이브를 시작으로 연결, 연동되어 있는 모든 곳의 저장소를 암호화하기 때문에 백업본이 든 저장 매체는 반드시 필요시에만 연결하고 사용이 끝나면 분리해 주는 것이 좋습니다. 

 

[이미지출처 : Unsplash]

 

랜섬웨어 공격을 당하고 해커에게 랜섬을 지불한 피해자 중 80%가량은 또다시 랜섬웨어 공격을 당한 것으로 조사됐습니다. 또한, 랜섬을 지불했다고 복구 프로그램을 제공받는다는 보장도 없고 암호화 방식도 수시로 변경되어 사실상 데이터 복구는 어렵습니다. 랜섬웨어 감염은 쉽게 이루어지는 반면 해결하는 것은 제한적이기 때문에 사용자 스스로 예방하고 대비하는 것이 가장 확실한 예방법입니다.

 

KISA(한국인터넷진흥원)는 국민·기업의 랜섬웨어 감염 예방 및 피해 최소화를 위해 '랜섬웨어 피해 예방 5대 수칙'과 '랜섬웨어 대응·백업 가이드'를 제공하고 있다고 하니 참고하시면 좋을 것 같습니다.

 

출처 : Ahnlab

  1. 초롱초롱 2022.02.02 22:11 신고

    중요한 정보는 미리미리 따로 저장을 해 두어야 하겠습니다.

  2. 하늘나는굿맨 2022.02.02 22:16 신고

    저희 회사 직원 컴퓨터에서도 랜섬웨어로 인해 고생 좀 했지요.

  3. 하늘을보라 2022.02.02 22:18 신고

    좋은 정보 감사합니다.
    그런데 무분별한 다운로드 및 접속을 피하려고 해도 잘 안되네요~
    백신이라도 잘 활용해 봐야겠습니다.

  4. 며칠 전에도 옆 사무실에서 렌섬웨어 공격으로 컴퓨터 먹통되는 걸 보았네요~ 정보화 시대에 정말 무서운 일인것 같아요~

랜섬웨어 소식이 끝없이 나오고 있는 요즘입니다. 랜섬웨어는 회사는 물론 개인 PC까지 노리고 있어 전 세계적으로 상당한 피해를 입히고 있습니다. 랜섬웨어 피해 사례는 수없이 듣고 있지만, 정작 내 PC가 랜섬웨어 감염된다면 올바르게 대응하는 방법을 아는 이들이 많지 않을 것입니다. 랜섬웨어에 현실적으로 대처하는 방법에 대해 알아보겠습니다.

 

[이미지출처 : Unsplash]


1. PC 종료하지 않기

랜섬웨어에 감염된 것을 인지하면 너무 당황한 나머지 급하게 PC 전원을 끌 수 있습니다. 이는 잘못된 대처법입니다. 랜섬웨어 감염을 확인한 후, PC 전원을 끄지 않도록 주의해야 합니다. 일부 랜섬웨어는 감염 알림 메시지창이 나타난 상태에서 사용자가 PC를 종료할 경우 PC의 파일들을 삭제해버리기도 합니다. 따라서, 감염 알림창에 나타난 메시지를 주의 깊게 살펴보고 감염된 랜섬웨어가 무엇인지 파악한 후, 차분하게 피해를 최소화할 수 있는 방안을 찾아보는 것이 바람직합니다.

 


2. 외부 저장장치와의 연결 해제하기

랜섬웨어 감염이 의심될 경우, 즉시 공유 폴더, USB나 외장하드 등 외부 저장장치와의 연결을 해제하는 것이 좋습니다. 아직 랜섬웨어가 암호화를 진행 중이라면 감염된 PC에 연결된 저장장치 및 공유폴더의 파일들도 암호화될 수 있기 때문입니다. 이 경우 외장하드에 백업해둔 파일까지 암호화되어 무용지물이 될 수 있기 때문에 즉시 연결을 해제해야 합니다. 

 


3. 무료 복구 프로그램 검색하기

그 다음으로는 신뢰할 수 있는 보안 회사의 홈페이지 등을 통해 감염된 랜섬웨어에 대한 복구툴이 있는지 확인해본 후 빨리 조치해야 합니다. 주요 보안 업체들은 악성코드 분석 및 암호화 기법 분석을 통해 일부 랜섬웨어의 암호를 풀 수 있는 열쇠를 찾아내 암호화된 파일을 복구할 수 있는 툴(프로그램)을 제작해 무료로 제공하고 있습니다. 예를 들어 안랩은 자사 홈페이지를 통해 나부커(Nabucur), 크립트XXX(CryptXXX) 2.x 등 일부 랜섬웨어에 대한 복구툴을 무료로 제공하고 있습니다. 또 암호화 기법이 교묘하게 바뀐 크립트XXX 3.x 버전의 경우, 일부 파일에 대한 부분 복구를 지원하는 복구툴을 제공하고 있다고 하니 활용해보면 좋을 것 같습니다.​

 

[이미지출처 : Unsplash]


그러나 현재 국내에서는 일부 복구 툴이 공개된 랜섬웨어를 제외하고 알고리즘 해독이 어렵고, 암호화 방식도 수시로 변경되기에 복구툴 제공도 어려운 게 현실입니다. 따라서 백업해둔 파일이 있다면 이를 이용하여 다시 복구를 진행하는 것이 가장 이상적이지만 만약, 백업해둔 데이터가 없다면 감염된 파일을 비롯해 전체 포맷을 진행하거나, 복호화 비용을 지불해 복구 프로그램을 제공받는 방법 중 선택을 하는 수밖에 없으니 랜섬웨어에 감염되지 않도록 주의해야 하겠습니다.

 

출처 : Ahnlab

  1. 초롱초롱 2022.01.26 22:10 신고

    조심해야 되겠어요. 컴퓨터에 개인정보들이 많으니까요

  2. 신나라요 2022.01.26 22:16 신고

    저는 컴퓨터에 이상이 있으면 바로 전원을 꺼버리는데 그럼 안되는거였군요ㅠㅠ
    좋은정보 감사합니다^^

  3. 하늘나는굿맨 2022.01.26 22:16 신고

    랜섬웨어 감염시켜놓고, 상당한 금액의 비용을 요구하는 경우가 종종 있습니다. 우리 회사에서도 경험했었죠. 정말 화 납니다.

  4. 하늘을보라 2022.01.26 22:25 신고

    내용을 보니 정말 무섭다는 생각이 듭니다.
    그래도 좋은 정보를 통해 조금은 안심이 됩니다. ㅎㅎ

최근 사용자 PC에 있는 문서 파일과 이미지 파일들을 암호화하고, 파일 복구의 대가로 금전을 요구하는 랜섬웨어에 의한 감염 사례가 증가하고 있다. 초기 랜섬웨어는 주로 이메일의 첨부 파일을 이용해 유포되었지만 최근에는 보안이 취약한 웹사이트를 통한 드라이브바이다운로드(Drive-by-download) 방식을 통한 유포도 증가하고 있다. 이러한 웹사이트를 방문한 사용자들은 자신도 모르는 사이에 랜섬웨어에 감염되어 피해를 입게 된다. 이 글에서는 드라이브바이다운로드 등 랜섬웨어에 감염되는 주요 경로를 알아본다.

1. 취약한 웹사이트를 통한 악성코드 감염

공격자가 드라이브바이다운로드 방식을 이용해 웹 사이트를 통해 악성코드를 유포하는 과정은 대략 다음과 같다.

1. 공격자는 보안이 취약한 웹사이트에 악성 스크립트를 삽입한다.

[그림 1] 악성 스크립트 삽입

2. 사용자가 해당 웹사이트 접속하면 악성 스크립트가 동작한다.

3. 악성 스크립트는 사용자 PC에 설치 된 프로그램의 버전을 확인하여 취약점이 존재하는지 살핀다. 주로 자바, 인터넷익스플로러, 플래시플레이어 등의 프로그램 취약점이 자주 악용된다.

[그림 2] 자주 악용되는 프로그램 예시 (왼쪽부터 JAVA, IE, Flash Player)

4. 사용자가 사용하는 프로그램이 취약한 버전일 경우 취약점을 유발시키는 코드를 실행한다.

5. 4번과 같은 과정을 통해 악성코드를 다운로드(Dropper)하고 실행하여 사용자의 PC를 감염시킨다.

드라이브바이다운로드 방식은 랜섬웨어 뿐만 아니라 예전부터 온라인게임핵 악성코드나 파밍 악성코드 유포에도 사용되었던 방식이다. 동일한 과정을 통해 사용자 PC에 접근하되 최종적으로 사용자 PC에 다운로드되는 악성코드가 랜섬웨어이냐 파밍 악성코드이냐의 차이일 뿐이다.

 

2. 취약한 프로그램을 이용한 악성코드 감염

그렇다면 온라인게임핵 악성코드나 파밍 악성코드를 겪었음에도 불구하고 유사한 방식으로 유포되고 있는 랜섬웨어를 피할 수 없는 것일까? 가장 큰 원인은 바로 ‘취약한 애플리케이션의 사용’이다.

위에서 살펴본 바와 같이 보안이 취약한 웹사이트에 숨어있던 악성코드가 사용자 PC에 다운로드되면 사용자가 취약한 프로그램을 이용하고 있을 경우 이를 이용해 악성코드 감염을 비롯해 악의적인 행위를 수행한다.

안랩이 최근 3개월간 랜섬웨어의 변형 및 감염 PC 현황을 조사한 결과, 여전히 취약한 프로그램을 사용하는 사용자들이 많다는 것이 확인되었다. 공격자들은 주로 인터넷 익스플로러(Internet Explorer, IE)나 Java, 플래시플레이어(Flash Player)와 같은 프로그램의 취약점을 이용하고 있다. 윈도우 보안 업데이트를 비롯한 주요 프로그램의 최신 버전 업데이트 적용이 강조되는 이유다.

또한 취약한 웹사이트 이용도 문제다. 특히 일부 소규모 쇼핑몰 사이트나 커뮤니티 사이트 등은 보안에 취약한 경우가 많아 악성코드 유포에 자주 악용되고 있다. 실제로 지난 4월에 대규모 랜섬웨어 감염 피해가 발생했던 사고 역시 유명 커뮤니티 사이트를 통해 다수의 사용자들이 감염되었다. 특히 다음과 같은 사이트의 경우 보안 관리가 미흡한 경우가 대부분이므로 이용을 자제하는 것이 바람직하다.

– 토렌트 관련 사이트

– 음란물 관련 사이트

– 무료 게임 사이트 등

3. 이메일 첨부 파일을 통한 악성코드 감염

이메일 첨부 파일 확인 시에도 주의가 필요하다. 낯선 이메일 또는 의심스러운 메일임에도 불구하고 발신자나 제목, 내용 등을 확인하지 않고 첨부 파일부터 클릭하고 보는 사용자들이 여전히 많다. 출처를 알 수 없거나 이상한 제목의 이메일은 가급적 즉시 삭제하는 것이 바람직하다. 특히 낯익은 발신자가 보낸 첨부 파일이라도 바로 실행하는 것이 아니라 일단 PC에 저장 후 백신으로 검사하는 습관을 갖는 것이 좋다.

이와 함께 랜섬웨어 피해를 예방하기 위해서는 평소 중요한 데이터를 백업해두는 것이 바람직하다. 또한 회사에서 사용하는 업무용 PC는 가급적 업무 목적 외에는 사용하지 않는 노력이 필요하다.

한편 안랩은 ‘랜섬웨어 보안센터’ 웹사이트를 개설하고 최신 랜섬웨어 정보를 비롯해 랜섬웨어 예방을 위한 보안 수칙과 이를 쉽게 수행할 수 있는 가이드를 제공하고 있다.

출처 : AhnLab

계속해서 변종이 등장한다고 하네요.. 바이러스에 감염되지 않게 늘 대비하여야 하겠습니다.

  1. ♥동그리맘♥ 2015.12.10 12:53 신고

    조심해야겠네요~~~^^
    좋은 정보 감사^^

    • 온시디움 2015.12.14 23:43 신고

      제 주변에도 감염된 경우가 있었어요.. 정말 조심해야 하겠어요.

  2. 초롱초롱 2022.01.26 22:11 신고

    보안 프로그램을 깔고 주기적으로 보안 업데이트를 해야겠어요.

최근 랜섬웨어라고 파일을 암호화하여 금전을 요구하는 경우가 많아지고 있다고 합니다. 제 주변에서도 랜섬웨어인 크립토락커, 크립토월에 감염된 경우를 보게 되었는데요.. 감염되면 거의 모든 자료를 사용할 수 없게 되더라구요. 돈을 지불한다고 해도 완전히 복구를 못하는 경우도 많다고 합니다. 그래서 랜섬웨어에 감염되지 않는 방법을 소개하고자 합니다.. 안랩에서 소개한 내용입니다. 잘 확인하셔서 미리미리 예방할 수 있으면 좋겠습니다.

‘랜섬웨어(Ransomware)’라는 이름에서 짐작할 수 있는 것처럼 랜섬웨어 악성코드는 중요한 문서 등 PC의 데이터를 ‘인질’로 잡고 ‘몸값(ransom)’을 요구한다. 랜섬웨어에 감염되면 사용자 PC의 각종 데이터가 암호화되어 접근 및 사용 불가능한 상태가 되며, 공격자는 [그림 1]의 예시와 같이 데이터를 복호화하기 위해 일정 금액을 지불하라고 요구한다.

[그림 1] 랜섬웨어 감염 시 나타나는 화면 예시

[그림 2]는 랜섬웨어에 의해 암호화된 파일로, 추가 확장명을 붙여서 암호화되었음을 드러내고 있다. 최근에는 추가 확장명이 붙어있지 않은 경우도 많이 나타나고 있다.

 

[그림 2] 랜섬웨어에 의해 암화화된 파일

사용자가 암호화된 문서 파일을 클릭하면 [그림 3]과 같은 오류 메시지가 나타나 사용자들을 당황하게 하거나 곤란하게 한다.

[그림 3] 암호화된 문서 파일에 접근 시 나타나는 오류 메시지

만일 암호화된 문서가 중요한 업무와 관련된 것이라면 사용자는 어쩔 수 없이 서둘러 몸값을 지불하려고 할 것이다. 문제는 공격자가 요구하는 금액을 지불한다고 해서 파일이 복호화된다는 보장이 없다는 점이다. 영화에서 종종 보아왔던 것처럼 몸값을 지불해도 인질이 무사히 석방되지 않는 경우(데이터 복호화 불가의 경우)가 있다는 얘기다. 따라서 랜섬웨어에 감염되기 전에 다양한 예방책을 마련해두는 것이 매우 중요하다.

 

1. 업무 및 기밀 문서, 각종 이미지 등의 주요 파일을 주기적으로 백업한다.

중요 데이터 백업은 랜섬웨어 악성코드 예방뿐만 아니라 데이터 관리에 있어서도 가장 기초적인 관리 수칙이다. 우리가 사용하는 하드디스크나 USB같은 물리적 저장매체는 기계적인 오류, 노후화, 분실 등으로 인해 데이터가 손상될 가능성이 있기 때문이다.

가장 손쉬운 백업 방법은 사용자의 데이터를 압축하여 암호를 설정하고, 압축된 파일을 외장하드나 USB, 또는 NSA(Network-Attached Storage) 등에 분산하여 저장해두는 것이다. 외장하드나 USB를 분실하거나 파일 서버와 같은 공용 공간에 보관할 경우 타인에게 정보가 노출될 수 있으므로 암호를 설정하여 압축하는 습관이 필요하다. 백업 주기는 보통 3~4개월에 한 번씩 저장하는 것이 일반적이며, 중요한 자료일 경우 한 달 또는 더 짧은 기간을 잡고 주기적으로 백업해두는 것이 필요하다. 이때 백업된 데이터도 손상될 가능성이 있기 때문에 동일한 백업 파일을 여러 곳에 분산하여 저장하는 것이 핵심이다. 압축 파일을 암호화하는 랜섬웨어도 존재하기 때문에 여러 곳에 분산하여 저장할 것을 권장한다.

윈도우 OS에서 기본적으로 제공하는 ‘백업 및 복원’ 기능을 이용하는 방법도 있다. 이 기능은 윈도우 Vista 이후 버전에서 제공되는데, [그림 4]는 윈도우 7에서 제공되는 ‘백업 및 복원’ 화면이다.

[그림 4] 윈도우 OS에서 제공하는 백업 기능 (Windows 7 예시)

 

2. 백신 소프트웨어를 설치하고, 엔진 버전을 최신 버전으로 유지한다.

가장 기본적이지만 중요한 보안 수칙은 백신(Anti-Virus) 프로그램을 설치 및 사용하는 것이다. 단순히 설치하고 사용하는 것이 아니라 ‘잘’ 사용하는 것이 중요하다. 백신의 엔진 버전을 항상 최신 상태로 유지해야 하며, ‘실시간 감시’ 기능을 항상 활성화 상태(On)로 설정하는 것이 바람직하다. 또한 정기적으로 정밀검사를 수행하는 것도 좋다.

 

3. 운영체제, 브라우저 및 주요 애플리케이션의 최신 보안 업데이트를 항상 적용한다.

‘윈도우 자동 업데이트’ 기능을 활성화 해두고 알림 메시지가 나타나면 최신 업데이트를 설치하는 것이 좋다. 또한 일주일에 한 번 정도는 보안 업데이트가 있는지 직접 확인하고 설치하는 것을 권장한다. 대부분 ‘자동 업데이트’는 주요 업데이트 위주로 업데이트를 진행하기 때문에 간혹 설치되지 않는 업데이트가 존재할 수 있기 때문이다.

아래와 같이 [제어판] → [시스템 및 보안] → [Windows Update] 메뉴를 이용해 보안 업데이트 내용을 확인할 수 있다.

[그림 5] 제어판에서 Windows Update 메뉴 선택

 

[그림 6] Windows Update 메뉴 선택 시 나타나는 화면

 

아크로뱃 리더(Acrobat Reader)나 플래시 플레이어(Flash Player), 자바(Java) 등의 프로그램도 ‘업데이트’ 알림 메시지를 제공하고 있다. 그러나 많은 사용자들이 바쁘거나 귀찮다는 이유로, 또는 ‘다음에’라는 핑계를 대고 업데이트를 설치하지 않는다. 그러나 랜섬웨어 뿐만 아니라 최근 신종 악성코드들은 이러한 프로그램의 취약점을 이용하고 있다. 따라서 이러한 프로그램들의 버전을 최신 상태를 유지해야 악성코드 감염을 예방할 수 있다.

랜섬웨어 악성코드는 종류가 다양하며 최근 변종이 지속적으로 나타나고 있다. V3 제품에서 제공하는 진단명에 Crypt, Crypter, Crypto, Lock, Locker, Nabucur, Ransom, Ransome 등의 키워드가 포함된 것이 바로 랜섬웨어들이다. 랜섬웨어 악성코드는 감염되면 파일을 사용할 수 없기 때문에 감염된 후에 대책을 찾는 것보다 사전에 예방하는 것이 가장 중요하다. 또한 중요한 데이터를 사전에 꾸준히 백업해 두는 습관을 갖는다면 설사 랜섬웨어에 감염되더라도 피해를 최소화할 수 있다. 번거롭고 귀찮게 느껴지겠지만 소 잃고 외양간 고치는 것 보다는 훨씬 속편하고 스마트한 방법이 아닐까 싶다.

출처 : AhnLab

  1. luree 2015.11.05 18:31 신고

    저런 거 만들어낼 좋은 머리를 좋은 곳에 쓸 것이지...

    • happy full 2015.11.05 23:22 신고

      작품을 만드는 머리는 좋은 데 그 작품을 어떻게 써야 하는 지는 모르는 머리인가 봐요

  2. ♥동그리맘♥ 2015.12.10 12:58 신고

    감사합니당~~~^^

+ Recent posts