2021년 6월 26일(토) 오후8시 페미위키:제6회 온라인 에디터톤이 진행됩니다.

랜섬웨어

This page was last edited on 4 August 2017, at 17:04.

랜섬웨어(영어: Ransomware)는 컴퓨터의 어떤 데이터권한을 인질로 하여 공갈하는 맬웨어의 한 종류이다.

1 특징

1.1 범행의 특징

입금을 받는 계좌는 대부분 비트코인과 같은 가상 화폐를 이용하며, 이 때문에 누가 랜섬웨어를 퍼뜨렸는지 추적이 쉽지 않다.

1.2 감염시 증상

대부분의 랜섬웨어는 컴퓨터 내의 대부분의 파일을 단기간에 해독하기 어렵게 높은 수준으로 암호화한다. 때문에 랜섬웨어에 감염됐을 때는 컴퓨터가 급격하게 느려진다. 그러나 시스템 파일의 경우 사용자가 부팅을 해야 돈을 입금할 수 있기 때문에 암호화하는 경우는 드물다.

2 타겟

보통은 윈도우 운영체제를 대상으로 퍼지지만 안드로이드 운영체제에도 종종 퍼지고 있다. 그 외에는 macOS리눅스에서도 종종 보인다.

3 감염 경로

3.1 광고 플랫폼

웹 페이지에 삽입되는 광고 컨텐츠의 서버를 해킹하여 광고와 함께 랜섬웨어가 다운로드 되도록하여 광고를 이용하는 모든 홈페이지의 이용자를 노리는 경우가 많다.

특히 이런 광고는 플래시를 이용하고, 랜섬웨어의 다운로드도 플래시 플레이어의 취약점을 이용한다. 보통은 플래시 플레이어를 최신 버전으로 업데이트하는 것만으로 예방이 가능하다.

3.2 이메일

이메일을 열어보면 심어져 있던 랜섬웨어가 동작하는 방식, 첨부 파일로 랜섬웨어의 실행 파일이 담겨져 있어 다운로드를 유도하여 동작하는 방식 등이 있다.

3.3 윈도우 취약점

많은 수의 윈도우 사용자가 윈도우 업데이트를 완전히 꺼두는 경우가 많다는 점에 착안, 이미 발표 및 패치된 윈도우 취약점을 이용하는 랜섬웨어도 있다.

2017년 5월에 유행하기 시작한 워너크라이 랜섬웨어가 이런 종류이다. 2017년 4월에 발표 및 패치 된 SMB의 취약점을 이용한다.

3.4 그 외

토렌트를 통해 배포되는 경우가 많다. 이 경우 진짜 랜섬웨어 실행파일(EXE)이 배포되는 경우도 있지만 JPG 파일이나 MP4 파일 등을 디코딩하는 libJpeg나 FFmpeg 등의 코덱 취약점을 이용하여 굳이 실행파일이 아니더라도 악성코드가 실행되도록 하는 방식이 많이 이용된다.

4 대처법

많은 랜섬웨어가 기존 랜섬웨어를 급조해 만들어지기 때문에 돈을 입금해도 제대로 된 복호화 키를 전달하지 않는다. 때문에 정말 급한 경우가 아니라면 입금은 자제하는 것이 좋다. 실제로, 대한민국의 웹 호스팅 업체인 인터넷나야나에서 상당 수의 서버에 랜섬웨어가 감염이 되어 많은 데이터가 암호화되었으며, 최대한 빠르게 이를 복구하기 위해 업체 지분을 담보로까지 빚을 내며 해커에게 요금을 지불했지만 모든 데이터를 복구할 수는 없었다.

컴퓨터가 갑자기 느려진다 싶으면 작업관리자를 확인하여 디스크를 100% 사용하는지 확인하여 100% 사용 중일 경우 바로 컴퓨터를 종료, 랜선을 뽑고 안전모드로 부팅하여 랜섬웨어 제거 소프트웨어를 이용하여 정리하는 것이 데이터를 덜 날릴 수 있는 방법이다. 특히 일부 랜섬웨어는 파일을 암호화하는 도중에 사용자의 개인정보도 빼내기 때문에 랜선을 뽑는 것이 좋다.

일부 랜섬웨어에 대해서는 복호화 도구가 대비되어 있다. 한국랜섬웨어침해대응센터의 홈페이지노 모어 랜섬 프로젝트에서 복호화 도구를 확인할 수 있다.

5 예방법

5.1 소프트웨어 업데이트

운영체제 최신 보안 패치를 그때 그때 하는 것만으로도 대부분 예방된다. 랜섬웨어의 대부분이 운영체제의 구성요소 취약점을 이용하는 것이기 때문이다.

특히 플래시 플레이어의 경우 운영체제 내에 탑재되기 시작한지 꽤 됐기 때문에 인터넷 익스플로러마이크로소프트 엣지를 사용하는 경우 반드시 윈도우 보안 패치를 적용하는 것이 중요하다. 다만 윈도우 10은 업데이트를 자동으로 적용하기 때문에 이 부분에 대해서는 걱정할 필요가 없다.

서드파티 소프트웨어의 경우, 무료 소프트웨어는 최신 버전이 나올 때마다 적용해주면 해결되며 유료 소프트웨어는 지원이 종료된 경우 반드시 다음 버전으로 업그레이드를 해야 한다.

5.2 광고 차단

대부분의 경우 광고 플랫폼을 공격 경로로 하기 때문에 광고를 차단하는 것도 하나의 예방법이 될 수 있다. 플래시 취약점을 이용하는 경우도 많지만 가짜 광고를 이용해 랜섬웨어를 유포하는 경우도 많기 때문에 광고를 차단하는 것으로 랜섬웨어가 상당 부분 차단된다.

5.3 랜섬웨어 방어 안티바이러스 사용

랜섬웨어는 시스템 파일을 제외한 모든 파일을 암호화하는 만큼 많은 파일을 지속적으로 읽고 쓰기 때문에 이를 미리 막아주는 안티바이러스 소프트웨어를 사용하고 있다면 방어가 가능하다.

다만 일부 랜섬웨어는 안티바이러스를 무력화하는 기능을 가지고 있으므로 이 방법을 믿고 다른 예방법을 적용하지 않으면 랜섬웨어에 피해를 입을 수 있다.

5.4 백업

컴퓨터와 단절된 공간에 주기적으로 중요 데이터를 백업하는 습관을 들이는 것도 예방법 중 하나이다. USB 외장 하드디스크를 백업할 때만 연결하거나 클라우드 저장소를 로컬 파일시스템에 연결하지 않고 웹 브라우저 등을 이용해 업로드하는 등의 방법을 이용하는 것이 좋은 방법이다.

랜섬웨어가 제로데이 취약점을 사용하는 경우 위의 모든 예방법이 무용지물이 될 수 있기 때문에 백업은 필수적으로 해야 하는 예방법이다.

6 기타