랜섬웨어 Q&A

랜섬웨어의 역사

1986: 첫 랜섬웨어로 알려진 1989 AIDS Trojan 등장(Joseph Popp가 제작했으며, PC 사이보그로도 통칭)
2005: 5월, 금원을 요구하는 랜섬웨어 등장
2006: 2006년 중반, Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive 등의 웜 바이러스들이 이전보다 향상된 암호화키로 보다 정교한 RSA 암호화 기법을 사용하기 시작
2011: 윈도우즈 제품 활성화 창을 모방한 랜섬웨어 웜이 나타남
2013: Stamp.EK 익스플로잇 킷에 기반한 랜섬웨어가 나타나고, 매킨토시 OS X에 특화된 랜섬웨어도 등장. 크립토락커는 그해 마지막 4개월간 약 500만 달러(약 57억원)를 벌어들임.
2015: 여러 변종들이 다양한 플랫폼들에서 심각한 피해를 초래하고 있음

랜섬웨어 유형

  • 암호화 랜섬웨어

암호화 랜섬웨어는 개인의 파일과 폴더들(서류, 스프레드 시트, 사진, 동영상 등)을 암호화합니다.

암호화된 경우 원본 파일들은 없어지고, 사용자들은 보통 감염파일이 있던 폴더에서 비용 지불에 대한 설명이 있는 텍스트 파일을 보게 됩니다.

감염된 파일이 열리지 않는 것 외에 다른 기능은 정상적으로 동작할 것입니다.

일부 랜섬웨어의 경우 '화면 잠금’ 기능을 보여주기도 합니다.

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • 화면 잠금 랜섬웨어 — WinLocker

이 랜섬웨어는 컴퓨터의 화면을 잠그고 비용을 요구합니다.

화면 전체에 이미지를 띄워서 모든 윈도우 창들을 사용 못하게 합니다.

개인 파일들에 대한 암호화는 없습니다.

Polyransom2

  • 마스터 부트 레코드(MBR) 랜섬웨어

마스터 부트 레코드(MBR)는 운영체계를 부팅하는데 사용되는 하드드라이브의 일부분입니다.

MBR 랜섬웨어는 컴퓨터의 MBR을 변경시켜 부팅이 되지 않도록 만들고, 대신 금전을 요구하는 화면을 띄웁니다.

Master-Boot.jpg

  • 웹서버 암호화 랜섬웨어

이 랜섬웨어는 웹서버를 타겟으로 하고 그 곳에 저장된 파일들을 암호화합니다.

자료 관리 시스템 내 알려진 취약점들이 랜섬웨어가 웹 서비스에 침투하는 통로로 자주 사용됩니다.

Ransomware encrypting web servers

  • 모바일 기기 랜섬웨어(안드로이드)

대부분의 안드로이드 모바일 기기들은 "드라이브 바이 다운로드" 방식을 통해 감염될 수 있습니다.

어도비 플래시나 백신 프로그램 같은 대중적인 제품들로 위장한 가짜 어플을 통해 감염될 수도 있습니다.

Mobile Ransomware

랜섬웨어에 감염되었다면 비용을 지불해야 하나요?

문제를 해결한다는 보장이 없기 때문에 비용을 지불하는 것은 절대 추천하지 않습니다. 상황이 의도치 않게 나쁜 방향으로 흘러갈 다양한 가능성도 있습니다. 예를 들면, 정확한 복호키를 가지고도 암호화된 데이터들이 복구되지 않는 버그가 있을 수 있습니다.

게다가 몸값이 지불되면 랜섬웨어가 효율적이라는 확신을 범죄자에게 주게 됩니다. 결과적으로 범죄자들의 활동은 계속되고, 더 많은 감염과 함께 돈을 가져다 주는 새로운 공격 방법을 찾아내게 될 것입니다.

랜섬웨어에는 어떻게 감염되나요?

랜섬웨어 공격은 실행 파일, 압축 파일, 이미지 등을 첨부한 이메일을 통해 이뤄집니다. 첨부 파일을 실행할 때 악성코드가 시스템에 침입하게 됩니다. 또한 일부 웹사이트 상에도 악성코드가 심어져 있습니다. 사용자가 이를 알지 못하고 해당 사이트에 방문한다면 악성코드에 감염되게 됩니다.

감염은 바로 나타나지는 않고, 시스템이나 데이터를 잠그는 과정이 완료될 때까지 악성코드가 은밀하게 동작합니다. 이후 대화상자가 나타나, 사용자의 데이터는 잠겨졌으며 이를 풀려면 비용을 지불하라고 알려줍니다. 이 과정까지 오면 어떠한 방법을 쓰더라도 너무 늦어버린 상태입니다.

더 많은 정보를 얻으려면 아래의 비디오를 보세요.

랜섬웨어의 주된 피해자는 누구인가요?

모든 개인이나 업체들이 랜섬웨어의 피해자가 될 수 있습니다. 범죄자들은 대상을 선별하기 보다는 최고의 수익을 얻기 위해 최대한 많은 사용자에게 피해를 입히려고 합니다.

업체를 대상으로 한 랜섬웨어 공격이 증가 중인가요?

그렇습니다. 암호화한 데이터들이 일반적으로 민감하고 해당 업체의 사업 지속에 필수적인 자료들이므로 범죄자들은 회사들이 더 쉽게 돈을 지불한다는 것을 알고 있습니다. 게다가 어떤 경우에는 몸값을 지불하는 것이 자료를 복원하는 것보다 더욱 저렴할 수도 있습니다.

왜 랜섬웨어에 대한 해결방안을 찾는 것이 이렇게 어렵나요?

현재 50여종 이상의 랜섬웨어가 유포 중일 정도로 랜섬웨어는 아주 빠르게 진화 중이고, 보다 강력한 암호화 및 새로운 기능을 탑재한 변종이 생성되고 있습니다. 결코 무시할 수 없는 상황입니다!

랜섬웨어의 해결책을 찾는 것이 어려운 이유 중 하나는 암호화라는 행위 자체가 위험한 일이 아니기 때문입니다. 암호화 자체는 훌륭한 기술이고, 많은 프로그램들이 이를 사용하고 있습니다.

최초의 암호화 랜섬웨어는 암호화와 복호화가 똑같은 대칭키 알고리즘을 사용했고, 이는 보통 보안 업체들의 도움을 얻어 성공적으로 해독할 수 있었습니다. 하지만 시간이 지나면서 범죄자들은 두 개의 서로 다른 키(파일을 암호화하는 공용키, 복호화에 필요한 개인키)를 사용하는 비대칭 암호 알고리즘을 사용하기 시작했습니다.

CryptoLocker Trojan은 가장 유명한 랜섬웨어 중 하나인데, 이 역시 공개키(비대칭키) 알고리즘을 사용합니다. 컴퓨터들이 감염되면 명령제어 서버로 연결되어 공개키를 내려 받습니다. 개인키는 CrytoLocker를 제작한 범죄자만 접근이 가능합니다. 피해자들은 보통 개인키가 영구히 삭제되는 72시간 이내에 비용을 지불해야 하고, 이 개인키가 없으면 암호를 해제하는 것은 불가능합니다.

따라서, 가장 중요한 것은 예방입니다. 대부분의 백신은 데이터 손실 없이 감염 최초 단계에서 랜섬웨어 위협을 인지하는 기능을 갖고 있습니다. 여러분들이 사용하는 백신에서 이러한 기능이 활성화되어 있는지 확인해야 합니다.

랜섬웨어 피해자들이 이 프로젝트를 이용해 파일들을 복구할 가능성은 얼마나 될까요?

노모어 랜섬웨어 프로젝트는 막 시작되었지만, 최대한 많은 변종들에 대한 복호화 키를 찾기 위해 각국 법집행기관 및 보안업체들과 지속적으로 협업하고 있습니다. 도움이 될 만한 정보를 가지고 계시다면 바로 저희에게 공유해주십시오.

‘랜섬웨어 해결사’ 코너가 무엇이고, 어떻게 사용하나요?

‘랜섬웨어 해결사’는 이용자의 기기를 감염시킨 랜섬웨어의 종류를 확인하는데 도움을 주기 위해 만들어진 코너입니다. 여기에서는 이용자들에게 해당하는 복호화 솔루션이 있는지 확인할 수 있습니다. 어떻게 사용하는지 아래의 영상을 참고하세요.

제가 감염된 랜섬웨어에 맞는 복호화 도구를 사용했는데 동작하지 않습니다. 왜 그럴까요?

복호화키의 일부분만 확보된 경우가 있어 이러한 상황이 발생할 수 있습니다. 업데이트가 되었는지 웹사이트를 지속적으로 확인하세요.

랜섬웨어로 암호화된 파일들을 복호화하는 것은 어떤 경우에 가능한가요?

아래 사례와 같은 경우 가능합니다.

  • 랜섬웨어 제작자가 제작상의 실수를 저질러서 암호화를 깨는 것이 가능한 경우. Petya 랜섬웨어와 CryptXXX 랜섬웨어가 이에 해당
  • 랜섬웨어 제작자가 자신의 행동을 후회해서 마스터 키를 공개한 경우. TeslaCrypt가 이에 해당
  • 법집행기관이 복호화키가 저장된 서버를 확보하고 이를 공유한 경우. CoinVault가 이에 해당

때로는 비용을 지불해서 복호화를 할 수도 있지만 항상 성공한다는 보장은 없습니다. 또한 비용 지불로 범죄자들이 만든 비지니스 모델에 동조하게 되고, 더 많은 사람들이 랜섬웨어에 감염되는 상황을 야기하게 됩니다.

이 프로젝트는 어떻게 시작된 것인가요?

지난 수년간 데이터를 암호화하고 돈을 요구하는 랜섬웨어가 커다란 문제가 되어 왔습니다. 랜섬웨어는 전염병이라고 칭해질 수도 있을 정도로 광범위하게 퍼지는 중으로, 2015년 4월부터 2016년 3월까지 전년 동기 대비 5.5배 증가한 71만 8천 명이 랜섬웨어에 감염되는 등 피해자들이 급증하고 있습니다.

경찰 혼자만의 힘으로는 사이버범죄에 제대로 대응하기 어렵고 특히 랜섬웨어는 더욱 그렇습니다. 또한 민간 보안 전문가들도 법집행기관의 지원 없이 대응하기 어렵습니다. 랜섬웨어에 맞서 싸울 책임은 경찰, 법무부, IT 보안업체 등 모두에게 있으며, 공동의 노력이 필요합니다. 우리는 범죄자들의 수익 창출을 막고 피해자에게 손실 없이 파일을 원상복구하기 위해 최선을 다할 것입니다.

우리나라에 비슷한 시도가 있나요?

‘노모어 랜섬’은 사이버 범죄 대응에 있어 민관이 협력한 국제적인 시도입니다. 이 협력은 국적을 불문합니다. 이 프로젝트의 핵심 목표는 랜섬웨어를 어떻게 예방하는가에 대해 전세계 사용자들에게 지식을 전달하고 교육하는 것입니다. 또한 궁극적으로는 전세계의 랜섬웨어 피해자들이 입은 피해를 회복하는데 도움을 주고, 시스템 권한을 되찾아 피해자들이 범죄자에게 비용을 주지 않아도 됨을 보여줄 것입니다.

그 첫걸음으로, 이 사이트는 각기 다른 랜섬웨어에 대한 복호화 툴들을 제공합니다. 모든 툴들은 무료이고, 해당 랜섬웨어로 감염된 누구나 국적을 불문하고 사용 가능합니다.