여러분 혹시 랜섬웨어라고 들어보셨나요? 랜섬웨어라는 것은 컴퓨터의 파일을 암호화시켜 그것을 빌미로 돈을 뜯어내는 일종의 온라인협박입니다.



저는 IT업계에 있으면서 랜섬웨어에 감염된 PC들을 몇번 접해보았습니다. 오늘 이시간에는 랜섬웨어 예방 및 랜섬웨어 치료방법 관련하여 랜섬웨어에 대한 모든것을 알아보는 시간을 가져볼까 합니다.



랜섬웨어란?


랜섬웨어란 처음 말슴드렸다시피 컴퓨터를 사용하는 사람의 파일을 암호화 시킨 이후 열어볼 수 없게 만든 이후 그것을 빌미로 온라인협박을 하는데요 이것을 풀기 위해서는 가상화폐인 비트코인이 필요합니다. 평균적으로 2비트코인을 요구하는데 현시세로 비트코인이 1비트코인당 80만원이니 2비트코인은 약 160만원이라고 할 수 있겠네요



온라인 가상화폐인 비트코인을 사용하는 이유는 비트코인 주소만 안다고 해서 그것으로 어떠한 작업도 할 수 없으며 해당주소와 연결된 지갑만히 비트코인 거래를 할 수 있기 때문입니다.


랜섬웨어 감염 원리


랜섬웨어는 나온지 몇년정도 꽤 되었습니다만 실질적으로 퍼지기 시작한 때는 아마 2015년 초부터였을 겁니다. IT쪽에 관심있으신 분들이하면 클리앙 사태나 뽐뿌사태를 기억하고 계실겁니다. 감염원리는 모두 동일했는데요 플래시 취약점을 통한 감염이었습니다. 



기존 바이러스처럼 바이러스가 다운되고 사용자가 실행한다고 감염이 되는 것이 아니라 플래시에는 액션스크립트 기능중 자동실행이라는 기능이 있습니다. 플래시가 돌아가는 과정에 해당 취약점을 타고 랜섬웨어가 침투를 하여 플래시의 자동실행기능을 동작시켜버리면 컴퓨터를 이용하는 사용자들은 자신이 아무것도 하지 않고 홈페이지만 접속했음에도 불구하고 랜섬웨어에 걸리게 됩니다.


랜섬웨어의 역사


저도 정확한 역사는 모릅니다만 랜섬웨어의 변천과정을 알아보자면 초기에는 확장자 뒤에 암호화가 되어 무슨 파일이 암호화가 되었는지 알아볼 수는 있었죠. 예를들면 내문서.xlsx.encrypted 이런식으로요. 



두번째는 확장자가 사라지고 바로 랜섬웨어 확장자가 붙어버리게 됩니다. 하지만 역시 무슨 파일이 암호화되었는지는 대충 알아볼 수 있었습니다.



세번째는 확장자 뿐만 아니라 파일이름도 무작위로 변형시켜 버리게 됩니다. 해당 랜섬웨어에 걸리면 뭐가 뭔지 알기 힘들게 되죠. 요즘에는 랜섬웨어 종류가 하두 많아서 무슨 종류에 걸릴지 아무도 모릅니다.


랜섬웨어 치료방법


예전에 나온 확장자 CCC나 VVV같은 랜섬웨어는 TeslaDecoder 라는 프로그램으로 복호화가 가능한 경우도 있지만 대부분의 경우 해커에게 비트코인을 지불하지 않는 이상 복호화가 불가능하다보니 어떻게 보면 도박이라고 볼 수 있습니다. 비트코인을 지불하고 복호화키를 받았다는 분도 있었지만 먹튀를 당했다는 분도 분명 존재했거든요. 그래서 예전에는 직접 비트코인을 구매해서 랜섬웨어가 걸린 컴퓨터의 데이터를 대신 살려주는 데이터복구업체들도 있었는데 요즘은 어떻게 대응하는지 모르겠네요.


랜섬웨어 예방


랜섬웨어가 활개를 치기 시작한 2015년부터 각종 백신업체들은 랜섬웨어 관련 대응책을 마련하기 시작했습니다. 가장 흔하게 사용되는 방법이 컴퓨터 내의 파일 확장자가 변했을때 그것을 감지해내고 파일의 확장자를 변환시킨 프로세스를 강제종료 해버리는 식의 대응방법을 사용합니다. 카스퍼스키등 각종 외산 백신들이 이와같은 방법을 사용합니다.



국내의 대표적인 백신 알약과 V3 이 두가지는 이와는 다른 방법을 사용하는데 컴퓨터의 루트폴더에 숨김폴더를 하나 만들어 놓고 그 안에 문서와 그림파일들 2~3개정도 넣어 놓습니다. 이후 랜섬웨어가 작동하게 되어 해당 폴더의 파일들을 암호화시키면 곧 바로 백신에서 알아채고 해당 프로세스를 종료시켜 버리게 되는 약간 외국백신보다 뒤떨어진 방법을 사용하고 있습니다.



이상으로 랜섬웨어 예방 및 랜섬웨어 치료방법 등 랜섬웨어에 대하여 간단하게 알아보았습니다. 알약은 2015년 12월경에 랜섬웨어 대비책을 마련하였으며 V3는 2016년 6월에 랜섬웨어 대비책을 마련하였습니다. 알약이나 V3같은 백신으로도 랜섬웨어는 어느정도 막는것이 가능하므로 백신사용은 필수겠죠? 이만 글을 마치겠습니다.


블로그 이미지

!@#$%^&*(

,