‘최악의 바이러스, 공포의 랜섬웨어 바이러스를 막아라’
감염된 PC의 하드웨어를 암호화해 사실상 PC 저장 데이터를 통째로 날려버리는 최악의 바이러스인 랜섬웨어가 등장, 국내 산업계에 초비상이 걸렸다.
주요 보안업계에 따르면 지금까지 등장한 악성코드나 바이러스를 능가하는 최악의 피해를 입히는 핵폭탄급 바이러스 ‘랜섬웨어’가 지난주 발견돼 감염된 PC의 저장 데이터를 통째로 날려버리는 치명적 피해사례가 속출하고 있는 것으로 9일 밝혀졌다.
랜섬웨어 바이러스는 6월 3일부터 4일간 온라인 커뮤니티 ‘뽐뿌’의 배너광고를 통해 처음 발견된 이래 200만명에 이르는 뽐뿌 사용자들을 대상으로 대량 유포된 것으로 드러났다.
현재 랜섬웨어 바이러스는 뽐뿌 이용자 수만 명이 감염된 것으로 추정되는 것은 물론, 이메일로도 유포돼 랜섬웨어를 첨부한 이메일을 열어보는 순간 PC가 감염돼 하드웨어에 저장된 데이터가 통째로 날려버리는 치명적 피해사례가 속출하고 있어 정부 차원의 대책이 시급한 것으로 지적된다.
실제 이번에 유포된 랜섬웨어 바이러스는 ‘CryptXXX’ 3.x 버전으로, PC하드웨어 전체에 암호화를 걸어놓는 데 현재로썬 복호화가 사실상 불가능한 것으로 밝혀졌다. 즉 감염된 PC 데이터는 사실상 모두 잃어버리는 셈이다.
보안전문가 최형순 박사는 “현재로썬 슈퍼컴 수백대를 돌리면 몰라도 복호화해 풀기는 불가능하기 때문에 PC 하드웨어를 밀어버리고 다시 포맷해 사용할 수밖에 없는 실정”이라며 “감염에 대비, 회사나 개인의 PC데이터를 이중, 삼중으로 백업해놓는 수밖에 없다”고 진단했다.
최악의 바이러스가 유포되면서 피해사례가 속출하고 있지만, 정부는 아직도 피해상황 조차 파악하지 못하고 있는 등 사실상 손놓고 있는 실정이다.
■ 뽐뿌 사이트 통해 대량 유포
이번에 유포된 랜섬웨어는 CryptXXX 한글버전 랜섬웨어로, 회원 수 200만여명 규모인 온라인 커뮤니티 ‘뽐뿌’ 광고배너를 통해 지난 3일부터 나흘간 집중 유포된 것으로 밝혀졌다.
지난해 4월 클리앙을 통해 유포됐던 바이러스와 같은 것이다. 문제는 랜섬웨어 바이러스에 감염된 PC의 경우 데이터를 통째로 날려버리는 치명적인 피해를 주고 있다는 점 때문이다. 현재로썬 데이터를 포기, 포맷 외엔 달리 해결방도가 없어 개인은 물론 IT기업은 물론 산업계 전반에 피해사례가 속출하고 있다.
CryptXXX 랜섬웨어는 크립토락커, 라다만트 랜섬웨어에 이어 국내에서 세 번째로 발견된 한글버전 랜섬웨어다. 어도비 플래시 플레이어 및 윈도 IE(Internet Explorer) 취약점을 이용해 유포되고 있다.
증상은 랜섬웨어에 감염되면 감염자 PC의 파일을 암호화한 후 한글로 비트코인 지급 안내창을 띄운다. 지난해 첫 등장 시는 랜섬웨어 유포자들이 비트코인을 송금해주면 복호화 코드를 보내줘 암호화에 걸린 PC를 복구하기도 했다.
하지만 최근에는 이런 사실을 그대로 모방해 복호화 코드를 보내주지 않고 비트코인만 받고 연락을 끊는 사기피해 사례가 속출하는 등 사기피해도 주의해야 한다. PC가 먹통이 돼 반드시 복구를 해야한다는 약점을 이용해 돈을 뜯어내는 랜섬웨어 모방 사기사건마저 기승을 부리고 있는 실정이다.
전문가들은 회사내 모든 업무데이터는 실시간 스토리지에 백업저장은 물론, 개인PC 역시 매일 매일 백업을 받아놔야 하고, 외부 클라우드서비스를 통해서 삼중으로 데이터백업 후 암호화하는 등 삼중으로 데이터를 저장해야 한다고 주문한다.
■ 대책은 이상한 사이트 접근자제, 이중 삼중 데이터 백업만이 피해막는 길
랜섬웨어 악성코드 피해를 막는 유일한 방법은 결국 이용자가 이상한 사이트나 이상한 메일 등에 접근하거나 열어보지 말아야 한다는 것이다.
왜냐하면, 공론화된 랜섬웨어 퇴치 백신이 나오면 곧바로 변종 악성코드가 또다시 등장하기 때문이다. 특히 랜섬웨어는 이미 수년 전부터 개인 PC를 통해 엄청난 피해를 입히며 돈받고 복호화 코드를 보내주는 등 기업화 형태로 암약해온 악질 악성코드다.
[ ‘CryptXXX’ 랜섬웨어 감염후 한글로 비트코인을 구입하라는 페이지]
결국 악성코드를 통해 기업 내 특정 PC로 바이러스가 침투하는 것을 막는 것은 이제 현실적으로 불가능하다. 창과 방패의 싸움처럼 악성코드 역시 끝없이 새로운 버전이 등장하기 때문이다.
결국, 첫 번째로 뚫린 PC에서 더 이상 기업 내 다른 PC가 무더기로 감염되지 않도록 최초 감염 시 탐지해 차단하는 등 악성코드에 대한 보안 개념이 새롭게 마련돼야 한다는 지적이다.
큐브피아 권석철 대표는 “랜섬웨어는 이미 오래전부터 심각한 피해를 준 악성코드”라며 “기업 내부 PC가 대규모로 감염될 경우, 복구화를 위해 수백억원을 요구하는 사이버범죄자들이 등장할 가능성도 배제하기 힘든 상황”이라며 악성코드 탐지차단 보안체계 구축이 시급하다고 지적했다.
랜섬웨어 감염방지 대비책은 일단 의심이 가는 사이트나 이메일 접근을 자제하고, 회사내 모든 PC데이터를 동기화해 실시간 백업받는 것은 물론 외부 클라우드 스토리지에 이중, 삼중으로 암호화 백업해야 할 것으로 지적된다.
윈도 업데이트를 자동으로 설정, 매일 업데이트를 해주면 랜섬웨어 감염가능성을 크게 낮출 수 있다.
■ 랜섬웨어, 왜 복구가 불가능한가?
“무료로 다운로드(https://noransom.kaspersky.com) 받으셔서, 복호화 하세요” 현재 러시아계 보안회사가 전 세계적으로 유일하게 랜섬웨어 복호화키를 무료로 제공하고 있다.
네덜란드 경찰은 지난해 9월, 랜섬웨어 공격 용의자 2명을 네덜란드에서 검거한 바 있다. 용의자를 검거하고 서버에서 복호화 키를 확보함으로써 드디어 코인발트(CoinVault)랜섬웨어 바이러스의 공격이 막을 내리는 듯했다.
코인발트의 C&C 서버에서 복호화 키를 입수하는 데 성공했고, 카스퍼스키랩과 네덜란드 경찰의 공동 대응으로 코인발트 랜섬웨어 무력화에 성공한 바 있다. 보안업체 카스퍼스키랩은 랜섬웨어 대응 센터(noransom.kaspersky.com)를 통해 1만4031개의 복호화 키를 추가 업로드, 무료 제공하고 있다.
카스퍼스키랩에서 개발한 전용 복호화 애플리케이션은 센터(noransom.kaspersky.com)에서 무료로 다운로드받을 수 있다. 회사 측은 “코인발트 및 비트크립터(Bitcryptor) 랜섬웨어의 피해를 당했던 모든 사용자가 범죄자들에게 단 한 푼의 비트코인을 지급하지 않고도 암호화된 데이터를 되찾아 올 수 있게 되었다”고 설명했다.
물론 계속 랜섬웨어 변종 바이러스가 속출하고 있어 랜섬웨어 복호화키를 100% 제공하지는 못하지만, 상당수 랜섬웨어 바이러스를 퇴치할 수 있는 것으로 알려졌다. 하지만 이번에 변종 3.x버전이 등장함에 따라 앞으로 랜섬웨어 변종 바이러스가 지속적으로 기승을 부릴 가능성이 매우 높아 대책 마련이 시급하다.
문제는 코인발트 사이버 범죄자들은 전 세계 수만 대의 컴퓨터를 감염시키려는 시도를 끝없이 하고 있다는 점이다. 이미 네덜란드는 물론, 독일, 미국, 프랑스, 영국 등 108개 국에서 피해가 속출하고 있다.
카스퍼스키랩은 2014년 5월 코인발트 최초 버전을 발견, 모든 악성 코드 샘플과 면밀히 비교 분석해 네덜란드 경찰 수사에 협조, 범인을 체포하는 데 성공했다고 설명했다. 검거 당시 서버에는 초기화 벡터(IV), 복호화 키, 개인 비트코인 지갑이 포함되어 있었고 카스퍼스키랩과 네덜란드 경찰의 지원으로 복호화 키를 제공하는 데 성공한 것이다.