당신의 파일이 납치됐다: 랜섬웨어
팟캐스트 '범인은 이안에 있다'
이번 글에서는 제가 겪었던 랜섬웨어에 대해 이야기하고자 합니다. 컴퓨터나 랜섬웨어 관련 전문적인 글이 아닌 랜섬웨어 피해자 입장에서 경험하고 고찰한 내용입니다. 랜섬웨어 공격을 받기 전부터 이후 대응과 신고까지의 저의 경험을 담았습니다.
연계콘텐츠
팟캐스트 '범인은 이안에 있다'
- 범인의 모든 자료가 납치됐다 [랜섬웨어] (아이튠즈 팟캐스트, 팟빵, 네이버 오디오클립)
저는 어린 시절부터 컴퓨터를 사용해왔고 스스로 나름의 활용도가 높다고 판단하고 있습니다. 물론 컴퓨터공학을 전공하고 바이러스 분야에 전문가는 아니지만 적어도 악성 바이러스를 조기에 판단하고 대처할 수 있는 능력을 갖추었다고 생각하며 컴퓨터를 사용해왔습니다.
최근 인터넷 오픈소스 프로그램들이 많이 늘어나면서 다른 분들이 개발해놓은 소프트웨어를 편리하게 사용할 수 있게 되었습니다. 저도 그 덕을 보는 많은 이들 중의 하나로, 이번에는 자료 분석 관련 오픈소스 프로그램들을 다양하게 받아 그 활용도를 확인해보고 싶었습니다.
오픈소스를 다운로드하다 보면 컴퓨터가 바이러스 차단을 위해 실행하고 있는 방화벽을 해제해야 하는 경우가 많습니다. 공식적으로 검증되지 않은 프로그램일 경우, 인터넷 접속경로가 안전하지 않다고 판단될 경우 컴퓨터는 사용자에게 진실로 방화벽을 해제하고 싶은지를 묻습니다.
저는 방화벽을 해제했고, 설치 시에 잘 읽어보아야 하는 체크박스 옆 설명을 제대로 읽어보지 않았습니다.
순간의 실수가 랜섬웨어를 제 컴퓨터로 불러왔습니다.
#1. 컴퓨터가 느려진다
급속도로 컴퓨터가 느려졌습니다.
그러나 프로그램을 설치할 때 종종 있을 수 있는 일이라고 대수롭지 않게 생각하고 있었습니다. 그러나 프로그램의 설치가 끝나고도 제 컴퓨터는 감당할 수 없는 수준으로 느리게 움직였습니다.
작업관리자를 열어 확인했을 때 제 CPU는 100%가 구동되고 있었지만, 정확하게 어떤 프로그램이 문제인지 집어내지 못했습니다.
인터넷 창을 열자 광고창이 함께 뜨기 시작합니다.
단순 바이러스라고 생각한 저는 기존에 깔려있는 백신 프로그램이 이러한 바이러스를 못 잡는다고 판단해 국내 유명 백신 프로그램을 몇 개 더 깔았습니다. 하지만 점검을 돌리고 악성이라고 뜨는 바이러스들을 치료해도 여전히 문제는 계속됐습니다.
이러한 과정을 거치면서 저는 뭔가 이상한 점을 발견했습니다.
#2. 파일을 열 수 없다
폴더 안에 있는 제 문서, 이미지, 영상 등의 파일들이 갑자기 기존에 확장자에 따른 아이콘으로 나타나는 것이 아닌 백지 형태의, 확장자가 읽히지 않을 때의 모습으로 바뀌고 있었습니다. 폴더 안에 들어가 보니 기존 문서들 .hwp, .docx, .pptx, .pdf, .jpg 등 확장자가 모두 확장자 뒤편에 .meds 라는 추가적인 확장 이름이 붙기 시작했고, 이렇게 확장자가 변환된 파일은 더 이상 열 수 없게 되었습니다.
이름을 수정하고 속성을 변경해도 기존 파일들은 더 이상 정상적으로 열리지 않았습니다.
'제대로 바이러스에 걸렸구나' 깨달은 저는 인터넷을 검색하기 시작했습니다. 물론 컴퓨터는 랜섬웨어로 사용하기 어려운 수준으로 성능이 떨어졌기 때문에 핸드폰을 활용해 관련 내용들을 검색했습니다.
당시까지만 해도 랜섬웨어임을 인지하지 못했기 때문에 검색어로 '확장자 .meds' 'meds 바이러스' '인터넷 광고 .meds'등으로 국내외 사이트를 뒤지기 시작했습니다.
그리고 그제야 제가 걸린 바이러스가 랜섬웨어임을 알게 되었습니다.
#3. 랜섬웨어임을 확인
제가 걸렸던 .meds 라는 확장자가 작업 파일을 잠식하는 바이러스는 일명 'STOP 랜섬웨어'라는 말웨어였습니다. 그전까지는 랜섬웨어였다는 사실조차 인지하지 못했기 때문에 현 상황에 대한 진단과 파일 복구 가능성도 가늠하지 못했습니다.
랜섬웨어임을 알게 된 이후 랜섬웨어의 공격을 받은 파일들을 둘러보고 있을 때, 하나의 텍스트 파일(확장자 .txt)는 잠기지 않고 확장자를 유지하고 있음을 확인했습니다.
파일명은 _readme_.txt 였고, 이것이 랜섬에 대한 내용이었습니다.
실제 랜섬웨어의 랜섬 내용요약하자면 다음과 같은 내용이었습니다.
너의 파일은 안전하다. 내가 파일을 풀 암호키를 가지고 있다. 980불을 보내면 암호키를 주겠다. 72시간 내로 답하면 50% 할인된 가격인 490불에 키를 주겠다. 아래 이메일로 메일을 보내라.
랜섬(ransom)이라는 단어가 '납치 유괴된 사람에 대한 몸값'임을 생각했을 때, 제 파일을 암호화한 것에 대한 복구 값을 요구하는 행태는 그 범죄 방식이 매우 유사했습니다. '랜섬웨어'의 어원에 대해 다시 한번 깨닫게 되는 순간이기도 했습니다.
그러나 이러한 랜섬에 돈을 지불할 경우 실제로 암호 해독 키를 받아 파일을 복구하는 경우는 거의 없다고 합니다. 돈을 보낸 이후 키를 받지 못하거나, 키를 받더라도 암호가 풀리지 않는 경우, 일부만 풀리는 경우 등 복구 확률이 장담되지 않는 상황에서 저는 우선 돈을 지불하지는 않았습니다.
#4. 할 수 있는 최선의 노력
저는 그나마 매달 말마다 자료 백업을 해왔고, 이번 사건으로 사라질 자료는 9월 초부터 약 보름간 축적된 것이었기 때문에 저의 모든 자료를 잃는 일은 다행히 없었습니다.
인터넷의 도움으로 알게 된 사실은 다음과 같았습니다.
확장자 .meds 랜섬웨어는 나타난 지 얼마 안 됐고, 감염된 피해자의 수도 적었으며 그에 따라 암호 해독을 위한 툴도 개발되지 못한 상태였습니다. 기존 STOP 랜섬웨어를 위한 해독 툴도 제가 걸린 랜섬웨어에게는 적용되지 않았습니다. *이러한 정보는 인터넷 검색 및 인터넷진흥원 인터넷 보호나라 홈페이지에서 확인하실 수 있습니다.
그런 와중에도 제 컴퓨터에 있는 프로그램들은 실행 가능했습니다. 심리적으로 제가 파일만 복구하면 이전처럼 컴퓨터를 사용할 수 있을 것이라는 생각을 하도록 랜섬웨어가 프로그램들은 잠그지 않게 설계된 듯합니다. 이로 인해 저는 컴퓨터를 포맷하지 않고 어떻게든 사용 가능할 것이라는 판단을 하게 됩니다.
그러한 잘못된 판단으로 인해 저는 비용을 주고 랜섬웨어를 제거하는 소프트웨어를 구입해보았습니다 (한화 약 5만 원 상당). 이런 프로그램들은 잠긴 파일을 복구해주지는 않지만 컴퓨터에서 랜섬웨어를 최대한 제거함으로써 향후 만들어지는 문서들은 더 이상 잠기지 않게 됩니다. 말 그대로 랜섬웨어 프로그램만을 제거하는 역할을 합니다.
덕분에 일단 랜섬웨어 프로그램은 사라졌고, 새로 생성하는 파일들은 더 이상 확장자가 잠기지 않게 되었습니다.
#5. 결국 포맷
그렇게 이틀 정도 컴퓨터를 사용했습니다.
그러나 컴퓨터는 예전 같은 속도를 내지도 못했고, 기존에 있던 프로그램들도 오류 발생 비율이 늘었습니다. 인터넷도 무한정 속도가 느렸고, 더 이상 이대로 컴퓨터를 사용할 수 없겠다는 판단을 내렸습니다.
그렇게 랜섬웨어의 공격을 받은 3일 정도만에 결국 저는 컴퓨터를 포맷하기로 결정했습니다.
포맷을 하지 않으려는 여러 이유들 중에 가장 큰 이유는 기존에 있는 프로그램들을 모두 재설치해야 한다는 부담이었습니다만 사실 어렵게 랜섬웨어를 제거하고 다수의 점검 등으로 시간을 보낸 이틀 정도의 시간이면 충분히 포맷 이후 재설치로 컴퓨터를 안정적인 성능으로 활용할 수 있었을 것 같습니다.
현재는 포맷 이후 다양한 바이러스와 말웨어를 감지할 수 있는 백신 프로그램을 설치하고 모니터링하며 컴퓨터를 사용하고 있습니다.
#6. 랜섬웨어 신고했어?
이 모든 일들은 지난 추석 연휴에 있었던 일입니다.
하지만 이러한 피해를 겪으면서도 저는 이러한 피해를 신고해야 한다는 것에 대한 인지를 하지 못하고 있었습니다. 그러다 제 경험을 여러 주변인들과 공유하는 과정에서 몇몇 분들이 신고를 했는지 물어왔습니다.
그제야 저의 이런 하나의 에피소드가 신고라는 것을 해야 하는 사이버 범죄의 피해였음을 깨달았습니다.
범죄 관련 분야에 대한 공부를 하는 사람으로서 이것은 엄청난 괴리였습니다. 현실에서의 저는 그저 단순히 이러한 피해를 하나의 에피소드나 이야깃거리고 생각하고 저 스스로의 회복을 위해서만 노력했지 그 이상의 대의를 위한 무언가를 전혀 하지 않았다는 사실이 당황스러웠습니다.
저 또한 잡히지 않을 해커를 잡는데 내 시간과 노력을 낭비할 필요가 없다고 판단하는 그저 신고의식 없는 일개 사람이었던 것을 깨달았습니다. 그와 동시에, 다수의 저 같은 사람이 신고하지 않는 이상 문제에 대한 노력을 기울일 수 없다는 것과 해결을 위해 인식의 변화를 꾀해야 한다는 것 또한 중요한 교훈이 되었습니다.
랜섬웨어를 인터넷진흥원 인터넷 보호나라 홈페이지를 통해 신고했습니다동기화와 랜섬웨어
이번 피해를 겪으면서 제가 가장 다행이라고 생각하는 것은 랜섬웨어 공격 순간 클라우드 동기화를 켜고 있지 않았던 것이었습니다.
저는 클라우드를 사용할 때 제가 백업을 원하는 순간에만 클라우드를 실행시켜 동기화를 합니다. 동기화를 동시에 진행하면서 작업을 할 때 자동 저장 등과 충돌하며 오류가 생기기도 하는 등의 문제를 피하기 위해서가 가장 큰 이유입니다.
랜섬웨어가 걸릴 당시 클라우드는 켜져있지 않았습니다. 만약 클라우드가 켜져 있는 상태였다면 제 파일들의 확장자가 잠기는 그 순간에 클라우드에 있는 파일들이 업데이트되면서 잠긴 파일로 모든 파일이 동기화되었을 것이라고 예상됩니다. 그럴 경우 제가 가진 모든 파일을 잃게 되는 것이죠.
클라우드 동기화를 언제나 켜고 사용하신다면 한 번쯤 이 문제에 대해서 대비해주시기를 바랍니다.
