|
[최신 바이러스 정보]
Trojan/Win32.Tpyn.C4107707
최초 발견일: 2020-05-27
종 류: 트로이목마
형 태: 실행파일
감염/설치경로: 파일실행, 메일, 다운로드
설 명: Trojan/Win32.Tpyn.C4107707는 정상 설치아이콘으로 위장해 사용자의 PC를 취약하게 만드는 악성 프로그램이다.
[보안TIP]
랜섬웨어 공격자들에게 돈을 낼 수밖에 없을 때 잘 내는 방법
[보안뉴스 문가용 기자] 여느 날처럼 출근한
당신, 컴퓨터를 켜고 소스라치게 놀란다. 화면에 로그인
화면 대신 낯선 글자들이 뜨기 시작한 것이다. 읽어보니 돈을 비트코인 지갑으로 보내라고 한다. 와우. 말로만 듣던 랜섬웨어!
서둘러 백업 드라이브도 확인했지만, 여기에도 랜섬웨어의 손길이 뻗친 뒤였다. 이제 무슨 일을 해야 할까?
랜섬웨어 공격은 최근 들어 굉장히 가파른 성장세를 보이고 있다. 게다가 피해자들에게 요구하는 돈도 비싸지고 있다. 보안 업체
코브웨어(Coveware)가 조사한 바에 따르면 지난 4사분기의
평균 요구 금액은 111605달러로, 그전 사분기보다 33% 오른 수치라고 한다. 또한 랜섬웨어에 돈을 내지 않는 것이
정석이지만, 돈을 내기로 결정한 기업들이 점점 더 많아지고 있는 것도 현실이다. 솔직히 돈을 내는 것 외에는 그 어떤 선택지도 없는 경우가 있는 것도 사실이다. 이런 상황에 처했다면 어떻게 해야 할까? 돈 잘 내는 법을 알아보자.
1단계 : 상황을 파악한다
랜섬웨어에 당했다면 행동이 빨라야 한다. 사이버
보안 업체 오더(Ordr)의 CSO인 제프 혼(Jeff Horne)은 “랜섬웨어가 네트워크를 통해 퍼지고 있는
중인지 어디선가 멈췄는지, 혹은 조용히 숨어 있는지부터 확인해야 한다”며 “이는 최대한 빨리 확인하는 게 좋다”고 강조한다. 그런 후 랜섬웨어의 공격 범위 안에 들어 있는 시스템들을
전부 격리시킨다.
그 다음은 어떤 랜섬웨어에 걸려 있는지를 확인해야 한다. 구글 검색을 통해 의심이 되는 랜섬웨어를 조사해보고(보통 암호화
된 파일의 확장자가 랜섬웨어 이름이 된다), 복호화 툴이 공개되어 있는지를 확인한다. 혼은 “공격자들이 기술적인 오류를 일으키거나 같은 키로 공격을
반복하는 경우가 있어서 간혹 복구 키가 검색되는 경우가 있다”고 말한다. 그렇다는 건 누군가 돈을 한 번만 낼 경우 해당 공격자들의 모든 랜섬웨어 공격을 무력화시킬 수 있다는 뜻이
된다.
그러나 여기서는 복호화 키를 찾을 수 없었다고 해보자. 백업 드라이브도 당했다. 암호화 된 데이터는 세상 어디에서도
구할 수 없으며, 반드시 가지고 있어야 한다. 다시 만드는
것도 불가능하다. 이런 경우라면, 이제 슬슬 범인들과의
협상을 염두에 두기 시작해야 한다. 보안 업체 맨디언트(Mandiant)의 CTO인 찰스 카마칼(Charles Carmakal)은 “협상을 해 본 경험이 있는데, 고려해야 할 것들이 정말 많다”고 말한다. “랜섬웨어 공격 때문에 누군가의 생명이 위태롭다거나, 손실된 데이터가 정말 필요한 건지 등 돈을 낼 수도 있겠다고 생각한 순간부터 모든 것을 처음부터 다시 찬찬히
고려해야 합니다.”
2단계 : 도움을 요청한다
랜섬웨어 공격자들은 ‘협상 자리에 혼자
나오라’라거나 ‘경찰에 도움을 청하면 (데이터를) 죽이겠다’는
식의 협박은 하지 않는다. 이제 돈을 내는 수밖에 없다고 결론이 난 상황이라면 마지막으로 외부 전문가의
도움을 받는 것도 나쁘지 않다. 일반적으로는 암호화폐를 보유하고 있거나, 암호화폐 거래에 능숙한 조직은 아직 그리 많지 않다. 따라서
이런 부분에 있어서도 외부인의 도움이 필요할 것이다. 물론 암호화폐를 능숙하게 처리할 수 있고, 범인들이 요구하는 돈도 낼 수 있다면 혼자서도 충분히 할 수 있을 테지만.
카마칼은 “랜섬웨어 해결을 전문으로 하는
외부 전문가들을 초빙하여, 현재 공격을 감행한 조직들이 정말로 복호화 키를 제공하는지, 그 복호화 키로 데이터가 잘 복구되는지 확인할 필요가 있다”고
강조한다. 즉 공격자의 평소 신용도를 조사하라는 것이다. 실제
랜섬웨어 공격자들 중 돈만 받고 도망치는 경우가 굉장히 많은 것으로 알려져 있다.
3단계 : 복호화 코드를 실험한다
랜섬웨어 공격에서부터 복구한다는 건 “비트코인
얼마 주고 복호화 키를 건네받는다”는 간단명료한 개념이 아니다. 피해자와
공격자, 그리고 그 중간의 서드파티가 부지런히 소통을 해야만 한다.
이 때 돈을 덥석 주는 게 아니라 복호화 키 샘플을 받아 잘 작동하는지를 확인할 필요가 있다. 애초에
공격자들이 정말로 복호화 기술을 가지고 있는지부터 알아야 돈만 내고 데이터도 버릴 확률이 줄어든다.
“범인들마다 다르지만, 통화로 이 실험을
같이 진행하는 경우도 있습니다. 전화를 끊지 않은 채로 복호화 키 일부를 넘겨 피해자가 실험을 할
때까지 기다리는 거죠. 그런 후 복호화 키가 제대로 작동하면 전화를 끊습니다.” 데이튼 아동병원의 CISO인 크리스토퍼 컬(Christopher Kuhl)의 설명이다. “대규모 랜섬웨어
사업을 펼치는 조직들은 전담 콜 센터도 운영하니, 이런 식의 확인과 상담 절차를 불편해하지 않습니다.” 반대로 이런 확인 과정부터 불편해하는 기색을 보인다면, 복호화
가능성을 낮게 봐도 무방한 게 현재 분위기라고 한다.
하지만 돈 액수를 가지고 협상하려 들면 좋지 않은 결과가 나올 수 있다고 혼과 컬
모두 경고한다. “제가 여태까지 보고 들은 바, 범인들은
금액을 가지고 이러쿵저러쿵 하는 걸 극도로 싫어합니다. 섣불리 협상을 시도하다가 오히려 금액이 배로
늘어난 경우를 종종 봐왔습니다.” 컬의 설명이다.
4단계 : 네트워크 복구
샘플 실험이 성공적으로 완료됐다면 서드파티의 도움을 받아 비트코인(혹은 다른 암호화폐)을 지불한다.
그리고 복호화 키를 받는다. 여기서부터는, 공격자가
거짓말을 한 게 아니라면, 그다지 어려울 것이 없다. “물론
복호화를 한다는 게 말처럼 간단히 이뤄지는 건 아닙니다. 적게는 수일, 많게는 한 달을 넘는 시간이 필요하죠. 그러니 범인들에게 돈을
냈다고 시간마저 단축되는 건 아니라는 걸 기억해야 합니다.”
이 단계에서 문제가 복잡해지는 건, 공격자가
사실은 여러 개의 랜섬웨어를 사용했고, 따라서 복호화 키로 복구할 수 있는 것이 전체 네트워크의
극히 일부일 때다. 혹은 공격자가 너무 오래 전에 사용했던 랜섬웨어에 뒤늦게 걸리는 바람에, 공격자가 현재 가지고 있는 복호화 키가 온전히 작동하지 않는 경우도 있다.
혼은 “이런 경우가 절반 정도는 되는 것 같다”며 “확인을 거쳐 돈을 내더라도 결국 반밖에 되돌려받지 못할 수 있다”고
경고한다.
이런 상황을 방지하려면
어떤 상황이든 범인들에게 돈을 낼 수밖에 없다는 건,
이미 불리한 위치에서 게임을 시작한다는 것과 같다. 어떻게 협상을 이끌어도 공격자보다
우위에 설 수는 없다. 심지어 요구한 돈을 불만 없이 내도 데이터가 전부 복구된다고 보장할 수 없다. 그러니 랜섬웨어에 한해서는 “예방”이 사후 대처보다 언제나 우선시될 수밖에 없다. 컬은 “보안 담당자로서 결정권자들을 최대한 설득해서 보안 예산을 늘리는 것이 최선의 랜섬웨어 대응책”이라고 말할 정도다.
“제가 근무했던 병원에서야 설득이 크게 어렵지 않았습니다. 랜섬웨어에 당하면 환자의 목숨이 위험해질 수 있다는 걸 증명하니까 곧바로 예산이 늘더라고요.” 그러면서 그는 지도자들이 가장 두려워하는 것을 짚어주어야 한다고 귀띔한다. 혼의 경우는 “백업을 철저히 하는 편”을 권장한다. “가장 확실하고 저렴하며, 가장 안전한 방법은 백업뿐”이라고 그는 강조한다. “백업 드라이브를 항상 오프라인에도 마련해 두세요. 요즘 같은
세상에서 사업을 한다면 반드시 필요한 행위입니다.”
http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/
|
