랜섬웨어 감염 현장

복구 vs 재설치

CASE

아는 지인이 노트북에서 작업 시 이상한 증상을 호소합니다. 프로그램은 실행이 되는데 직접 작성한 문서 파일이 이동이나 편집이 안되고 그림, 사진 이미지가 사라진 것처럼 보인다는 증상입니다. 의심스러운 점이 있었지만 일단 노트북을 직접 들여다봅니다. 확실히 이상하긴 하네요. 프로그램은 잘 동작하는데 실행파일을 제외한 모든 파일들의 이름(정확히는 확장자)이 모조리 변경되어 있습니다. 설마 하고 좀 더 확인해보니 전형적인 랜섬웨어 증상입니다. 

탐색기를 열어 살펴보니 아래처럼 확장자가 모두 바뀌어 있네요. 물론 확장자를 원래대로 바꾸면 파일은 이미 손상되어 있어서 정상적으로 열리지 않습니다. 

탐색기로 살펴본 랜섬웨어로 변형된 파일들

WORKAROUND(해결방법)

분석

우선 가장 먼저 실행해야 하는 것은 랜섬웨어 복구 사이트를 통해 감염된 파일을 복원할 수 있는지 여부를 확인하는 것입니다. 

https://www.nomoreransom.org/ko/index.html

The No More Ransom Project

위 사이트에서 감염된(정확히는 암호화된) 자신의 파일을 업로드하면 치료 가능 유무를 알 수 있습니다. 일반적으로 최신의 랜섬웨어 피해를 받은 파일은 복구가 불가능합니다. 위 사이트에서 만약 복원이 가능하다면 매우 운이 좋은 케이스입니다. 이번 케이스에서도 변형된 파일은 위 사이트에서도 복원이 불가능했으며 파일을 포기하는 것으로 결론을 내립니다. 

자 여기서 사용자는 아래  3가지 중에서 하나를 선택해야 합니다.  

너무도 중요한 데이터이고 반드시 복구를 해야 한다. 

중요한 데이터이지만 기다릴 수 있다. (위 사이트에서 랜섬웨어를 해결할 수 있는 때까지)

내가 작업한 파일은 백업을 해두고 있다. (또는 클라우드에 저장하고 있다)

첫 번째 경우 랜섬웨어를 감염시킨 공격자에게 비트코인을 전송하면 암호화된 파일을 복호화할 수 있는 키를 받아서 암호화된 파일을 정상으로 복원시킬 수 있습니다. 하지만 가능성은 크지 않습니다. 오로지 공격자의 의사에 따라 성공 유무가 좌우됩니다. 랜섬웨어 복구를 전문으로 하는 사설업체들이 많지만 거들떠보지 않는 것이 좋습니다. 

두 번째 경우 나는 언제 될지는 모르지만 기다릴 수 있는 경우입니다. 이런 경우 감염된 HDD 또는 SSD를 분리해서 보관하는 것입니다. 위의 No More Ransom 사이트에서 랜섬웨어의 복호화 키를 만들어 낼 때까지 말이죠. (실제 가족사진이 모두 랜섬웨어에 감염된 지인에게는 이 방법을 권장해드렸습니다. 언젠가는 위 사이트에서 복호화 키를 만들어 낼 테니까요. :))

세 번째 경우는 가장 바람직한 방법입니다. 자신이 생성하거나 저장한 파일들을 노트북이나 PC에만 저장하는 것이 아닌 클라우드 서비스를 이용해서 백업하는 경우입니다. 이번에 문의하신 지인도 이경우에 해당합니다. 따라서 작업 파일들과 사진 데이터들은 모두 완벽하게 복원이 가능합니다. 세 번째 경우 PC나 노트북을 깨끗하게 재설치를 할 수 있으므로 가장 근본적인 처방이 됩니다.

랜섬웨어의 감염경로

어디서 랜섬웨어가 감염된 것일까요? 이 부분은 사용자의 사용 패턴을 살펴봐야 합니다. 이번 지인의 경우 이용패턴을 볼 때 인터넷 사이트나 별도의 설치 파일을 실행하면서 감염된 것은 아니며 메일을 통해서 감염된 것으로 판단됩니다. 왜냐하면 업무 특성상 불특정 다수가 외부에서 보내는 메일을 열어보는 업무 특성상 이 경로가 가장 의심스러운 경로입니다.  

전해드린 가이드

첫 번째 업무용 메일 서비스의 전환입니다. 기존에 사용하는 국내 메일 서비스보다는 GMAIL 서비스를 추전 드립니다.  특히 이메일을 지능적으로 판단해서 스팸 처리하는 능력이 국내 메일보다 훨씬 뛰어납니다. 

두 번째 메일 업무에서 사회공학적 해킹에 주의해야 합니다. 특히 불특정 메일의 첨부파일을 열어야 할 때는 보낸 사람을 신뢰할 수 있는지에 대한 판단을 다시 한번 확인하고 신중하게 열어보는 습관이 중요합니다. 

세 번째 백신 프로그램의 설치입니다. 국내의 상용 백신 또는 무료백신들도 기본적인 랜섬웨어의 방어능력을 보여주고 있습니다. 반드시 백신 설치(Windows 환경에서 입니다. MacOS는 불필요한 영역입니다.)를 권장합니다

네 번째 클라우드 서비스의 적극적 활용입니다. 국내 통신사들은 이제 클라우드 서비스를 철수하고 있습니다. 한동안 통신사 제휴로 무료 공간을 많이 제공했지만 지금은 모두 서비스가 종료되고 있습니다. 구글 드라이브나 MS사의 원드라이브, Dropbox 등과 같이 글로벌의 대중적으로 검증된 클라우드 서비스를 이용하여 자신이 작성하고 수집한 컨텐츠를 저장해야 합니다. 

랜섬웨어란

합성어인데 Ransom(몸값) + Malware(악성코드)의 두 개의 단어가 합쳐진 단어입니다. 사용자의 동의 없이 컴퓨터(요즘에는 스마트폰까지)에 설치가 자동으로 인지하지 못하게 진행됩니다. 설치 이후에는 사용자의 파일을 공격자가 설정한 종류별로 암호화하여 사용자를 인질로 잡고 금전을 요구합니다.  모바일까지 현존하는 거의 모든 운영체제에서 활동합니다. 요즘의 백신 프로그램에서는 사전에 이러한 랜섬웨어의 암호화를 차단하는 기능을 제공하고 있습니다.

가격 모델

지금까지 설명드린 랜섬웨어의 해결방안에서 실제 소요되는 비용을 한번 살펴보겠습니다.

요즘의 IT서비스는 년 과금 모델이 일반적입니다. 

백신

PC용 백신 (2년 사용권 기준) : 61,600원 (안랩 V3 365)

클라우드 저장 공간

구글 드라이브 :  15G 무료 공간, 100GB(월 2,400원) 

MS One드라이브 : 5G 무료 공간, 100GB(월 1,900원)

Dropbox : 2000GB(년  120$)