지난해 뜨거운 감자로 떠오른 보안 이슈를 이야기할 때 빠질 수 없는 것이 바로 랜섬웨어다.

피해자의 피가 마르게 만드는 랜섬웨어, 한국도 안전지대가 아니다

몸값(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어인 이 악성코드는 당신의 문서, 동영상, 이미지 파일 등을 암호화해 열어볼 수 없게 만들고, 암호를 풀어주는 대가로 기한을 정해놓고 금전을 요구한다.

어느날 갑자기 가족 사진이나 회사 업무용 문서, 이력서, 학교 과제등 중요 파일이 자신도 모르게 암호화되어 볼 수 없게되면 하늘이 노랗게 보인다는 말을 실감하게 되는데, 그렇다고 해커에게 돈을 지불해봐야 암호화를 풀어준다는 보장도 없다.

다행이 보안 업체들을 중심으로 랜섬웨어에 의해 암호화된 파일들의 복구툴을 제공하고 있는데, 어떤 제품들이 있는지 살펴보았다.

랜섬웨어 암호 해독툴, 어떤 것들이 있나?

카스퍼스키에서 발표된 랜섬웨어 디크립터는 CoinVault와 BitCryptor 랜섬웨어에 대한 복호화 툴로 2015년 11월 공개되었으며, 다운로드와 사용법은 카스퍼스키 홈페이지에서 확인할 수 있는데, 이들 랜섬웨어 복호화툴 제작은 랜섬웨어 제작자의 검거가 큰 역할을 했다.

국내 대표 보안 업체인 안랩 또한 랜섬웨어에 대한 복구툴을 무료 제공하고 있는데, 해당 랜섬웨어 복구툴로 복구 가능한 랜섬웨어는 나부커(Nabucur)와 테슬라크립트(TeslaCrypt) 기반의 일부 랜섬웨어이며, 다운로드와 관련 정보는 안랩 홈페이지에서 확인할 수 있다.

시스코(CISCO)에서는 테슬라크립트(TeslaCrypt) 랜섬웨어에 의해 암호화된 파일을 복구할 수 있는 툴을 제공하는데, 관련 내용은 CISCO 홈페이지에서 확인할 수 있으며, CISCO에서 공개한 복구툴은 깃허브에서 다운로드 받을 수 있다.

시스코에서 공개한 테슬라크립트 랜섬웨어 복구툴은 약 8개월 전에 공개된 것으로, 최근 깃허브에 새로운 테슬라크립트 랜섬웨어 복구툴이 등록되었다. googulator로 알려진 개발자에 의해 등록된 이번 복구툴은 확장자를 ccc, vvv등으로 바꾸는 테슬라크립트 0.3.4b~2.2까지의 복구가 가능한 것으로 알려졌으며, 다운로드는 깃허브에서 가능하다.

보안 업체인 FireEye와 Fox It은 대표적인 랜섬웨어 중 하나인 크립토라커(cryptoLocker)에 대한 복구툴을 제공한 바 있다. 이메일 주소와 암호화된 파일을 웹 사이트를 통해 등록하면 복구용 키를 제공하는 방식으로 제공되었는데, 비슷한 변종이 계속해서 등장하는데다 이러한 복구 서비스가 변종의 생산을 부추길 수 있다는 이유로 서비스를 중단해 아쉬움을 남겼다.(FireEye 공지)

한편, 암호화된 파일을 직접 복호화해 복구하는 것은 아니지만 랜섬웨어에 따라 복구할 수 있는 또 다른 방법이 있는데, 바로 지워진 파일을 복구해주는 프로그램을 이용하는 것이다.

이는 랜섬웨어가 정상 파일을 암호화한 파일로 덮어쓰지 않고, 암호화된 파일을 남겨놓은 후 원본 파일을 지웠을 때 이용할 수 있는 방법이다. 즉, 디스크에 남아있는 정상 파일의 흔적을 이용해 정상 파일을 복구하는 것인데, 당연히 이같은 복구를 시도하기 전에 시스템에 남아있는 랜섬웨어 제거 작업이 먼저 이뤄져야 하고, 암호화된 파일이 있는 디스크에 쓰기 작업을 하면 복구 확률이 낮아지니 주의해야 한다.

최악의 악성코드 랜섬웨어, 철저한 대비만이 살길

지금까지 알려진, 프로그램 파일을 망가트리는 정도의 멀웨어는 랜섬웨어에 비하면 악질적인 장난에 불과하다는 평을 받고 있다.

아동포르노 / 테러리스트 등 연관 등의 소름돋는 혐의로 사용자를 겁주는 랜섬웨어도 등장했다

물론 프로그램 파일을 망가트리는 것도 사람 짜증나게하고 천불나도, 망가진 프로그램이야 멀웨어를 제거하고 다시 설치하면 해결된다. 하지만 하지만 랜섬웨어는 그 어디에도 없는 개인, 또는 회사의 중요 파일들을 암호화하는데, 동일 네트워크에 연결된 다른 PC나 저장소를 가리지 않고 무차별 암호화해 피해자들을 절망에 빠트린다.

특히 인질범처럼 돈을 요구하는데, 암호화화된 파일을 복호화하는데 PC마다 다른 키가 필요한데다, 랜섬웨어 재작자가 요구하는 비용을 입금한다해도 돈만 받고 암호화 해제용 코드를 보내줄지 장담할 수 없으며, 공격자들은 입금 수단으로 비트코인류의 디지털 통화를 요구하므로 추적이 어려워 잡아다 콩밥 먹이기도 어렵다.

물론, 랜섬웨어로 암호화된 파일을 복호화할 수 있는 툴이 개발되고 있지만 랜섬웨어 개발자의 검거나 랜섬웨어의 취약점 분석, 수많은 피해자들의 샘플 분석등이 필요하다. 게다가, 이렇게 복구툴이 공표된다해도 앞서 FireEye의 공지처럼 수많은 변종들이 등장하고 있으므로, 같은 계열의 랜섬웨어라해도 앞서 공개된 복구툴로 완전히 복구할 수 있다는 보장도 없다.

랜섬웨어, 보안 업데이트와 백신 활용 및 주기적인 백업으로 예방만이 살길이다

결국, 랜섬웨어에 의한 피해를 방지하기 위해서는 무엇보다 PC 사용자들의 주의가 필요한데, 우선 PC 운영체제나 보안 취약점 때문에 악명을 떨치고 있는 플래시 등 PC에 설치된 여타 소프트웨어의 자동 업데이트 기능 활용이 필요하다.

다른 멀웨어와 같이 랜섬웨어 또한 주로 운영체제나 소프트웨어의 보안 취약점을 이용해 유포되고 있으니, 소프트웨어의 보안 취약점 패치만 즉시 적용해줘도 랜섬웨어에 의한 피해를 방지할 수 있다.

하지만 취약점 패치가 공개되기 전의 보안 헛점을 노린 제로데이 공격을 이용한 랜섬웨어에 의한 피해를 방지하기 위해서는 실시간 감시 기능을 갖춘 백신 프로그램 설치가 필요하다. 최근 백신 프로그램들은 기존 멀웨어의 분석 데이터와 사용자 신고 내역등을 바탕으로, 정식 분류전이라도 악성으로 의심되는 프로그램이나 파일의 실행을 차단하므로 랜섬웨어에 의한 피해 방지에 도움이 된다.

하지만 이보다 중요한 것이 있으니 바로 주기적인 백업이다.

비록 백신에서 사전 차단이 가능할지라도 미처 탐지하지 못한 신종 랜섬웨어의 희생자가 지금 이 글을 보고 있는 독자가 되지 않으리란 보장은 없다. 중요 파일을 주기적으로 독립된 별도의 저장소에 백업해 놓는다면 이런 최악의 경우라도 최소한의 피해로 끝낼 수 있을 것이다.