[정보보호]걸리면 끝(?) 랜섬웨어...이렇게 하면 막는다

‘주의, 본인의 모든 파일을 클립토락커 바이러스로 코딩했습니다.’

PC에 저장된 사진, 동영상, 문서 파일을 인질로 잡는 랜섬웨어 피해가 급증했다.

Photo Image
랜섬웨어에 걸리면 이같은 메시지가 나타난다. (자료:알약블로그)

랜섬웨어(Ransomware)란 몸값을 뜻 하는 ‘랜섬(Ransom)’과 ‘소프트웨어(Software)’의 합성어다. 파일을 인질로 잡아 금전을 요구한다. 이메일에서 이상한 파일을 열어보지 않아도 랜섬웨어에 걸린다. 랜섬웨어가 유포 중인 웹사이트만 방문해도 사용자는 인지하지 못하는 사이 악성코드에 노출된다. 하지만 랜섬웨어도 전혀 막을 수 없는 것은 아니다.

Photo Image
랜섬웨어에 걸리면 이같은 메시지가 나타난다. (자료:알약블로그)

◇기본을 지켜라

교과서적인 말이지만 보안 기본 수칙을 잘 지키면 랜섬웨어 피해를 최소화할 수 있다. 자바·어도비·마이크로소프트 등 애플리케이션 소프트웨어(SW)를 항상 최신 버전으로 업데이트한다. 랜섬웨어 공격자는 최근 주로 상용 소프트웨어 보안 취약점을 이용해 악성코드를 배포한다. 애플리케이션 SW를 최신상태로 업데이트하지 않은 PC 사용자는 공격자 표적이다.

이메일로 들어오는 첨부파일은 항상 경계한다. 모르는 곳에서 온 메일은 물론이고 아는 사람이 보낸 메일 첨부 파일을 열 때 악성코드 검사를 생활화한다.

데이터를 주기적으로 백업한다. 현재까지 랜섬웨어가 암호화한 파일을 완벽히 복호화하는 방법은 없다. 감염 시를 대비해 미리 백업해둔 파일로 복원하는 것이 가장 좋다. 중요파일은 항상 백업하는데 인터넷이나 네트워크에 연결되지 않은 별도 장치에 저장한다. 인터넷으로 연결돼 자동으로 저장되는 클라우드 백업은 랜섬웨어의 또 다른 표적이다. PC에서 암호화된 파일이 클라우드로 그대로 백업된다.

◇중요 문서 읽기전용으로 제한하고 확장자를 바꿔라

랜섬웨어는 문서, 압축, 이미지, 음원 등을 암호화한다. 중요문서를 보관할 때 확장자를 ‘실행파일(EXE)’ 등으로 바꾸면 직접적인 공격을 피할 수 있다. ‘2분기실적보고서.doc’ 파일을 ‘2분기실적보고서.exe’로 바꾸는 식이다. 랜섬웨어 공격자는 실행파일을 암호화하지 않는다. 이런 파일을 건드리면 시스템 부팅이 안 돼 협박을 해서 수익을 올릴 수 없는 탓이다.

중요문서는 권한을 ‘읽기 전용’으로 설정하는 것도 예방에 도움을 준다. 대부분 랜섬웨어는 파일을 수정하면서 암호화한다. 중요 파일을 수정이나 편집한 후 읽기전용으로 속성을 변경하면 일부 랜섬웨어 공격을 막을 수 있다.

◇랜섬웨어 공격자에게 돈 주지 말라

랜섬웨어 창궐은 결국 ‘돈’이 되기 때문이다. 범죄자에 비트코인을 지불하는 사람이 늘어날수록 랜섬웨어 피해는 더욱 커진다. 글로벌 사이버위협연합(CTA) 보고서에 따르면 랜섬웨어 공격자는 지금까지 3억2500만달러(약 3700억원)에 달하는 부당수익을 챙겼다. CTA가 파악한 랜섬웨어만 4046개에 달한다. 랜섬웨어가 사이버 범죄자에게 새로운 시장을 창출했다. 피해자가 대가를 지불하면 동일한 범죄가 계속 판을 치지만 돈벌이가 되지 않으면 줄어든다.

보안전문가들은 “익명성을 보장하는 비트코인 등 가상화폐가 활성화하며 랜섬웨어와 같은 범죄가 더욱 증가할 것”이라며 “지불 수단을 제재해 이 같은 범죄를 줄여야 한다”고 말했다.

◇일부 랜섬웨어 돈 안주고 암호화를 푼다

카스퍼스키랩은 네덜란드 경찰과 수사 중 사이버범죄자 서버에서 랜섬웨어 복호화 키를 찾았다. 카스퍼스키랩은 랜섬웨어대응센터(noransom.kaspersky.com)에 1만4031개 복호화 키를 무료로 올렸다. ‘코인밸트(CoinVault)’와 ‘비트크립토(Bitcryptor)’에 감염돼 암호화된 파일은 되찾을 수 있다.

Photo Image
카스퍼스키랩은 일부 랜섬웨어에 감염된 파일을 복구할 수 있는 도구를 무료로 제공한다. (자료: noransom.kaspersky.com)

마이크로소프트는 10월 악성코드 제거도구에 ‘테스크립트(Tescrypt)’를 추가했다. 해당 랜섬웨어로 암호화된 파일은 마이크로소프트가 제공하는 복호화 도구로 되살릴 수 있다.

◇보안 솔루션을 활용하라

최근 나온 엔드포인트시큐리티 제품은 랜섬웨어를 막는 기능이 들어있다.

Photo Image
카스퍼스키랩 엔드포인트시큐리티10 시스템 감시기 기능을 사용하면 랜섬웨어 감염을 막을 수 있다. (자료:카스퍼스키랩)

카스퍼스키 ‘엔드포인트시큐리티10’은 파일 악성행위를 추적해 차단하는 사전방역기능으로 랜섬웨어를 자동으로 차단한다. 하우리 ‘바이로봇 APT쉴드’는 행위기반 솔루션으로 알려지지 않은 취약점을 이용한 공격을 차단한다.

Photo Image
하우리 바이로봇 APT쉴드2.0도 랜섬웨어를 차단하는 기능을 제공한다. (자료:하우리)

계영티앤아이 ‘아이몬 로페’는 인가된 프로그램만 실행하는 보안 제품이다. PC에서 관리자가 허용한 프로그램만 실행하는 화이트리스트 통제 방식으로 랜섬웨어 등 지정되지 않은 프로그램은 작동하지 않는다.


김인순기자 insoon@etnews.com


브랜드 뉴스룸