작명 센스 만큼이나 더욱 악랄해지는 랜섬웨어

크라이시스(Crysis), 달마(Dharma), 크립토(Crypto)… 이름만 보면 무슨 종교나 비밀결사 단체와 같은 이것은 모두 랜섬웨어 바이러스 종류별 이름이다.

2017년 전세계에 워너크라이(WannaCry) 감염사태 이후, 랜섬웨어가 연일 화제가 되었다. 다른 악성코드가 컴퓨터 소프트웨어 또는 하드웨어를 망가뜨리고 내부 데이터를 유출하거나 파손하는 수준인데 반해 이 쪽은 아예 협박을 한다. 알기 쉽게 사람에 대한 범죄에 비유할 경우, 기존의 악성코드가 '절도'나 '손괴', 폭행 등이라면 랜섬웨어는 강도, 특히 인질 강도에 가깝다. 심지어 워너크라이라는 이름의 유래도 꽤나 악랄하기 그지없는데, 우선 뒤의 Cry는 Crypt를 줄인 것도 있지만 울다는 뜻까지 포함한 중의적인 표현인 듯하며(Do You Wanna Cry?), 한번 걸리면 말 그대로 울고 싶어지게 만드는 작명이다.

초기 랜섬웨어가 유행할 당시에는 무작위 PC에 감염을 유도해 아무나 걸리라는 식의 유포를 했지만, 이제는 범죄집단 조직화가 이루어지면서 기업을 타깃으로 하는 지능형 감염 사례가 많아지는 추세다. 공격할 기업을 파악하고 침투경로를 확보하는 조사팀, 확보된 경로를 통해 PC를 감염시키는 공격팀, 감염된 피해자들이 암호화를 풀기 위해 연락을 하면 협상을 하고 데이터를 풀어주는 협박팀 등이 각각 존재하기 때문에 랜섬웨어 종류가 다양해지는 원인이기도 하며, 한 조직을 검거했다고 해도 감염 피해를 복구할 수 있다고 장담할 수 없다.

랜섬웨어 예방 방법

최근에 우리 씽크포비엘에 랜섬웨어 감염이 발생했다. 임직원의 주의를 당부드리며, 다시 한번 개인별 예방 방법을 설명하고자 한다.

랜섬웨어 전문가들의 공통적인 예방 방법은 백업이다. 다시 말하면, 랜섬웨어는 어떠한 방법을 써도 막을 수 없을 것이라는 뜻이다. 네트워크에 방화벽을 설치하고, 백신과 감지 툴을 설치했다고 해서 해당 PC가 안전할 것으로 생각해서는 안 된다. 항상 본인 PC 자료는 이중삼중으로 백업을 진행하는 것이 무엇보다 중요하다. 암호화된 자료는 복구될 가능성이 매우 낮고, 시간이 지날수록 복구를 위해 지급할 비용도 계속 올라가기 때문이다. 차라리 감염된 PC를 빨리 초기화하고 백업한 자료를 다시 가져오는 것이 제일 좋은 예방 방법이라고 할 수 있다.

다음으로는 PC 원격 접속에 대한 주의가 필요하다. 외부에서 원격으로 PC에 접속할 때 계정정보를 쉬운 비밀번호를 사용하는 경우가 있는데, 해커는 이 정보를 직접 탈취하는 것뿐만 아니라 무작위로 난수를 생성하고 접속되는 PC에 접근해 미리 악성코드를 심어놓는다. 이렇게 심어진 악성코드는 바로 실행되지 않고 일주일에서 한 달까지 잠복기에 있다가 사용자가 PC를 이용하지 않는 새벽 또는 주말 시간대에 맞춰 작동하게 된다. 사용자는 감염을 인지하지 못하는 사이에 이미 암호화가 진행된 PC 화면을 보고 절망할 수밖에 없는 상황이 발생하는 것이다. 이번에 감염된 랜섬웨어도 이처럼 원격 접속 취약점을 통해 미리 침투해 주말 새벽에 감염이 진행된 것을 확인할 수 있었다.

감염 확인 후 심리 상태

밤새워 완성한 엑셀 자료를 저장하고, 다음날 발표할 PPT도 수정이 완료돼 모니터를 끄고 기분 좋게 퇴근했는데, 다음 날 아침에 모니터를 켰을 때 파일명이 ‘발표자료.ppt.id-C2BD94A2.[wormpy@keemail.me].WORM’ 로 다 바뀌어 화면에 비친다면 순간 헛웃음이 나다가 점점 손발이 떨리고 현실감이 들지 않을 것이다. 하루아침에 내 모든 역량을 쏟아부어 만든 자료가 그대로 있는데 열 수가 없다는 게 믿어지지 않을 수도 있겠다. 해결책은 주어졌지만 그대로 따른다고 해서 내 자료가 돌아올 것 같지도 않다.

마무리