멀웨어의 일종인 랜섬웨어(Ransom Ware)는 감염된 PC의 민감한 데이터에 대한 접근을 영구적으로 차단하는 컴퓨터 암호화 바이러스의 일종이다.

이번 시큐엔가이드에선 랜섬웨어 감염 시 대처 방안에 대해 알아본다. 만약 랜섬웨어에 감염된 PC를 보유하고 있다면 이 글을 통해 치료하게 될 수도 있다.

■ 랜섬웨어의 역사

최초의 랜섬웨어로 알려진 것은 에이즈 트로이목마(AIDS Trojan, 이하 에이즈)다. 에이즈는 주운영체제로 도스가 자주 쓰이던 1989년 처음 등장했다.

에이즈는 AUTOEXEC.BAT 파일에 감염돼 PC의 부팅 횟수를 체크하고, 90회째가 되면 모든 디렉토리를 숨기고 컴퓨터에 저장된 파일을 암호화한다.

결국 시스템은 사용할 수 없는 상태가 되고, ‘라이선스 갱신’을 위해 189달러를 지불하라는 메시지를 띄운다.

에이즈의 재밌는 점은 악성코드 설계 상 오류로 바이러스에서 암호 해독 키를 추출할 수 있어, 굳이 돈을 지불하지 않아도 복구가 가능했다는 점이다.

이후 2005년 필터링 소프트웨어 공급업체 Websense가 금전을 요구하는 랜섬웨어를 발견했다. 해커는 200달러를 요구했으며 이 시기부터 업계는 랜섬웨어를 범죄로 인식하기 시작했다.

2006년부턴 해커들이 보다 정교한 RSA 암호화 기법을 적용한 트로이목마를 사용하기 시작했고, 2013년 암호화폐를 요구하는 랜섬웨어인 ‘크립토락커(CryptoLocker)’가 전파되며 랜섬웨어로 인한 피해도 커지기 시작했다.

그리고 2017년 5월, 최악의 랜섬웨어인 ‘워너크라이’가 등장한다. 150여 개 국가, 23만 대 이상의 컴퓨터를 감염시킨 워너크라이는 단순한 악성파일 실행을 통한 감염 외에도 MS윈도우의 SMB 취약점을 이용해 네트워크에 존재하는 모든 컴퓨터를 순식간에 장악해 버리는 극악무도한 전파력까지 갖추고 있었다.

■ 암호학의 발전과 함께 진화한 랜섬웨어

랜섬웨어가 무서운 이유는 많은 랜섬웨어와 그 변종들이 빠르게 생성되고 있기 때문이다. 그리고 대칭 암호 알고리즘을 사용하던 최초의 랜섬웨어와 다르게, 오늘날의 랜섬웨어는 비대칭 암호 알고리즘을 사용해 복호화를 어렵게 만든다.

보통 암호키에는 파일을 암호화하는 ‘공용키’와 복호화에 필요한 ‘개인키’가 있다. 이 둘을 구분짓지 않고 하나의 암호키만 사용하는 것을 대칭 암호 알고리즘이라고 하며, 이를 따로 사용하는 것이 비대칭 암호 알고리즘이다.

최근 제작돼 유포되는 랜섬웨어는 대부분 비대칭 암호 알고리즘이 사용된다. 랜섬웨어 감염 PC는 해커의 명령제어 서버에서 공개키를 내려받아 파일들을 암호화하지만, 개인키에는 오직 해커만이 접근 가능해 사실상 일반인 차원에서 복호화는 불가능한 실정이다.