랜섬웨어를 무료로 치료하는 방법
상태바
랜섬웨어를 무료로 치료하는 방법
  • 최형주 기자
  • 승인 2020.04.06 11:28
  • 댓글 0
이 기사를 공유합니다

125개 랜섬웨어 복호화 툴 제공하는 ‘노모어랜섬’ 웹사이트

멀웨어의 일종인 랜섬웨어(Ransom Ware)는 감염된 PC의 민감한 데이터에 대한 접근을 영구적으로 차단하는 컴퓨터 암호화 바이러스의 일종이다.

이번 시큐엔가이드에선 랜섬웨어 감염 시 대처 방안에 대해 알아본다. 만약 랜섬웨어에 감염된 PC를 보유하고 있다면 이 글을 통해 치료하게 될 수도 있다.

 

■ 랜섬웨어의 역사

최초의 랜섬웨어로 알려진 것은 에이즈 트로이목마(AIDS Trojan, 이하 에이즈)다. 에이즈는 주운영체제로 도스가 자주 쓰이던 1989년 처음 등장했다.

에이즈는 AUTOEXEC.BAT 파일에 감염돼 PC의 부팅 횟수를 체크하고, 90회째가 되면 모든 디렉토리를 숨기고 컴퓨터에 저장된 파일을 암호화한다.

결국 시스템은 사용할 수 없는 상태가 되고, ‘라이선스 갱신’을 위해 189달러를 지불하라는 메시지를 띄운다.

에이즈의 재밌는 점은 악성코드 설계 상 오류로 바이러스에서 암호 해독 키를 추출할 수 있어, 굳이 돈을 지불하지 않아도 복구가 가능했다는 점이다.

이후 2005년 필터링 소프트웨어 공급업체 Websense가 금전을 요구하는 랜섬웨어를 발견했다. 해커는 200달러를 요구했으며 이 시기부터 업계는 랜섬웨어를 범죄로 인식하기 시작했다.

2006년부턴 해커들이 보다 정교한 RSA 암호화 기법을 적용한 트로이목마를 사용하기 시작했고, 2013년 암호화폐를 요구하는 랜섬웨어인 ‘크립토락커(CryptoLocker)’가 전파되며 랜섬웨어로 인한 피해도 커지기 시작했다.

그리고 2017년 5월, 최악의 랜섬웨어인 ‘워너크라이’가 등장한다. 150여 개 국가, 23만 대 이상의 컴퓨터를 감염시킨 워너크라이는 단순한 악성파일 실행을 통한 감염 외에도 MS윈도우의 SMB 취약점을 이용해 네트워크에 존재하는 모든 컴퓨터를 순식간에 장악해 버리는 극악무도한 전파력까지 갖추고 있었다.

랜섬웨어의 대명사, ‘워너크라이’ 감염창(사진: 이스트시큐리티)

 

■ 암호학의 발전과 함께 진화한 랜섬웨어

랜섬웨어가 무서운 이유는 많은 랜섬웨어와 그 변종들이 빠르게 생성되고 있기 때문이다. 그리고 대칭 암호 알고리즘을 사용하던 최초의 랜섬웨어와 다르게, 오늘날의 랜섬웨어는 비대칭 암호 알고리즘을 사용해 복호화를 어렵게 만든다.

보통 암호키에는 파일을 암호화하는 ‘공용키’와 복호화에 필요한 ‘개인키’가 있다. 이 둘을 구분짓지 않고 하나의 암호키만 사용하는 것을 대칭 암호 알고리즘이라고 하며, 이를 따로 사용하는 것이 비대칭 암호 알고리즘이다.

최근 제작돼 유포되는 랜섬웨어는 대부분 비대칭 암호 알고리즘이 사용된다. 랜섬웨어 감염 PC는 해커의 명령제어 서버에서 공개키를 내려받아 파일들을 암호화하지만, 개인키에는 오직 해커만이 접근 가능해 사실상 일반인 차원에서 복호화는 불가능한 실정이다.

 

■ No More Ransom?

이렇게 사이버 위협이 지속적으로 진화하자, 유로폴과 네덜란드 경찰, 보안기업 맥아피와 카스퍼스키가 공동으로 ‘노 모어 랜섬(No More Ransom)’이라는 프로젝트를 만들어 개인 차원에서의 복구를 돕고 있다.

오늘 소개할 내용은 노모어랜섬을 이용해 랜섬웨어 감염 PC가 어떤 랜섬웨어에 감염됐는지 확인하는 방법과 이러한 랜섬웨어 중 일부를 치료하는 방법이다.

우선 노모어랜섬 웹사이트(nomoreransom.org)로 접속하고 언어를 선택한다. 노모어랜섬은 친절하게도 한국어와 영어 등을 포함해 총 36개 언어를 지원한다. 한국어를 선택하고 들어가면 다음과 같은 화면이 나온다.

화면 중앙의 붉은 버튼 ‘네’를 누르거나 상단 메뉴의 ‘랜섬웨어 해결사’를 선택하면 랜섬웨어를 진단하는 페이지로 이동된다.

이동된 페이지에서 랜섬웨어를 진단하는 방법은 두 가지다. 하나는 암호화가 진행된, 혹은 실행이 불가능한 1MB 이하의 파일을 업로드 하는 방법이다. 만약 이 방법으로 확인되지 않는다면 바탕화면에 해커가 남긴 랜섬메모 텍스트 파일의 이메일, 웹사이트 주소, 암호화폐 지갑주소 등을 직접 입력해 진단받을 수 있다.

또한 감염된 랜섬웨어의 무료 복호화 툴이 존재한다면 다음 사진과 같이 랜섬웨어 명칭과 함께 복호화 툴 다운로드 페이지 버튼이 표시된다.

반대로 감염되지 않은 정상적인 파일을 올렸거나 랜섬웨어 복호화 툴이 없는 경우, 다음과 같은 메시지를 볼 수 있다.

만약 노모어랜섬에서 관련 정보를 찾지 못했다면, ‘바이러스 토탈(VirusTotal.com)’이라는 사이트에 파일을 올려 진단을 받아보자. 물론 여기라고 해결책을 주는 것은 아니지만 지피지기면 백전백승이라 했듯, 일단 내 PC를 감염시킨 랜섬웨어가 어떤 녀석인지 알아는 봐야 하지 않겠나.

바이러스토탈은 구글의 자회사로, 각종 컴퓨터 바이러스를 검사하는 사이트다. 홈페이지에 오진의 가능성을 스스로 언급하고 있지만, 알약, V3, 카스퍼스키, 이셋, 맥아피, 시만텍, 어베스트, 트렌드마이크로 등 70여 개 백신 솔루션 엔진으로 검사해 분석 결과를 보여준다.

다만 검사 결과가 공유되기 때문에 개인 정보가 들어있는 파일이나 기업의 기밀 정보를 업로드해서는 안된다.

다시 본론으로 돌아와, 노모어랜섬이 무료 복호화 툴을 제공하는 랜섬웨어는, 이 글의 작성 시점인 2020년 3월 23일을 기준으로 125개 랜섬웨어에 대해서다. 이중엔 업계에서 유명세를 떨쳤던 갠드크랩(GandCrab), 넴티(Nemty), 테슬라(Tesla) 등의 랜섬웨어도 포함돼 있으니 해커에게 돈을 지불하기 전에 꼭 확인해 보도록 하자.

만약 노모어랜섬에서도, 바이러스토탈에서도 내가 걸린 랜섬웨어 정보를 찾지 못했다면 주변 보안 업체에 연락하거나 해당 랜섬웨어에 대한 복호화 툴이 개발되기 전까지는 하드를 뽑아 놓고 기다려야 한다. 해커들이 랜섬노트를 통해 파일 삭제 기한을 정해두긴 했지만, 전력 공급이 차단된 하드디스크의 데이터를 날려버릴 수 있는 신기술은 아직 개발되지 않았다.

 

■ 노모어랜섬이 말하는 ‘랜섬웨어 예방법’

노모어랜섬은 각종 랜섬웨어 복호화 툴을 제공하지만, 사실 이 사이트를 만든 가장 큰 이유는 ‘사람들이 랜섬웨어를 예방할 수 있도록 돕는 것’이라 밝히고 있다. 실제로 사이트 측은 “랜섬웨어는 감염 후 복구보다 예방이 더 쉽다”고 말하고 있다.

노모어랜섬은 랜섬웨어를 막는 가장 주요한 수단으로 첫 번째, ‘백업’을 강조한다. 두 번째로는 랜섬웨어를 막을 수 있는 백신 사용과 새로운 랜섬웨어 샘플을 탐지할 수 있는 ‘행위기반’ 안티 바이러스 솔루션의 사용을 권한다.

세 번째로는 컴퓨터의 OS와 응용프로그램 등 모든 프로그램의 자동 업데이트를 사용해 최신 버전을 사용할 것, 네 번째로는 SNS, 메시지, 게임 친구, 돈을 주겠다는 이메일, 야한 사진을 보여주겠다는 링크 등 ‘클릭하고 싶도록 유혹하는’ 모든 인터넷 데이터를 믿지 말라고 지적한다.

다섯 번째로는 윈도우 설정에서 ‘파일 확장자 보기’ 기능을 활성화해 EXE, VBS, SCR같은 확장자를 조심할 것과, 마지막 여섯 번째로는 허위 혹은 미상의 프로세스를 발견 시 인터넷과 와이파이 등 네트워크 접속을 빠르게 차단해야 랜섬웨어 피해를 막을 수 있다고 강조한다.

 

■ 가장 중요한 것은 ‘걸리지 않는 것’

노모어랜섬은 2015년 4월부터 2016년 3월까지 랜섬웨어 감염 피해자가 71만 8천 명이었다고 밝히며 이를 ‘사이버 전염병’이라 칭하고 있다.

그리고 이러한 사이버 범죄에 맞서기 위해선 각국 정부기관과 IT 및 보안 기업, 그리고 개인까지 우리 모두가 함께 노력해야 한다고 강조하고 있다.

앞서 언급했듯 랜섬웨어는 감염 후 복구보다 예방이 더 쉽다. 만약 노모어랜섬에서 복호화툴을 찾지 못한다면 돈을 내고 복호화하거나 저장장치를 뽑고 기다려야할 수도 있다.

앞으로 얼마나 더 많은 랜섬웨어와 그 변종이 등장할지는 아무도 모른다. 그러나 한 가지 확실한 점은, 컴퓨터가 사라지지 않는 이상, 해커들도 포기하지 않고 끊임없이 제로데이 취약점을 찾아 새로운 랜섬웨어를 만들어 유포할 것이란 사실이다.

노모어랜섬 웹사이트의 모든 페이지에는 “랜섬웨어 감염 시 원칙적으로 해커에게 돈을 지불해서는 안됩니다. 비용을 지불한다고 해서 암호를 해제해줄 복호화 키를 받는다는 보장이 없고, 오히려 해커에게 랜섬웨어가 잘 동작한다는 사실만 확인시켜줄 뿐입니다”라는 문구가 들어가 있다.

노모어랜섬의 랜섬웨어 예방수칙을 지켜, 이 글을 읽는 독자들이 노모어랜섬 웹사이트에 접속하는 일이 생기지 않길 바란다.

 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.