당신의 웹브라우저는 안전하십니까?
상태바
당신의 웹브라우저는 안전하십니까?
  • 임병선 기자
  • 승인 2016.01.28 15:30
  • 댓글 2
이 기사를 공유합니다

올해 들어 랜섬웨어가 국내에서 극성을 부리면서 PC 보안에 경고등이 켜졌다. 구 버전 플래시의 취약점을 파고들어 공격하는 방식의 랜섬웨어로, 감염된 사이트에 접속만 해도 PC에 저장된 파일이 암호화되는 현상이 주를 이뤘다. 특히 사람이 많이 모이는 거대 커뮤니티를 중심으로 퍼진 랜섬웨어 피해는 걷잡을 수 없이 커졌다.

12월 초에는 일본에서도 ‘VVV’라 불리는 랜섬웨어로 한바탕 소동이 일어났다. 일본 대형 커뮤니티를 중심으로 퍼진 VVV 랜섬웨어는 감염된 파일 확장자를 ‘vvv’로 바꾸고 암호화시켰다. 여기에 윈도우 복원 파일도 삭제해 버려 포맷 말고는 답이 없었다. 만약 PC에 중요 자료가 있었다면 복구할 수도 없다.

웹브라우저에서 보안성 업데이트가 꾸준히 지원되기만 해도 어느 정도 안심할 수 있지만, 업체들의 이어지는 지원 중단 발표로 불안함만 더해지고 있다. 랜섬웨어를 박멸하진 못해도 PC를 보호하는 방법을 알아보자.

 

악성 중 악성

앞서 지난달에도 랜섬웨어에 대해 다뤘다. 랜섬웨어는 몸값(ransom)과 웨어(ware)를 합친 것으로, PC에 몰래 잠입해 문서나 프로그램 등을 암호화해 실행하지 못하게 하고서 해독용 프로그램을 판매하는 등 대놓고 금품을 요구하는 악성 프로그램이다.

랜섬웨어가 암호화하는 파일 확장자는 대체로 hwp, xls, doc, pdf 같은 문서 파일이나 jpg, png, psd, 등 그림 파일과 rar, zip 같은 압축 파일이다. 주로 회사에서 업무용으로 사용하는 파일들로, 해당 파일이 중요하고 요구하는 금액이 많지 않다면 지불하는 사례도 상당하다.

하지만 금액을 지불하더라도 해제 프로그램을 보내주지 않는 경우도 있으며, 송금한 돈이 어떻게 쓰이는지도 알 방법이 없으니 차라리 무시하는 편이 좋다.

▲ 칼만 안 들었지 대놓고 돈 내놓으라는 행위나 다름없다.

랜섬웨어의 무서운 점은 엄청나게 빠른 전염력에 있다. 보완이 취약한 거대 사이트에 랜섬웨어를 심어두면 랜섬웨어에 취약한 PC가 해당 사이트에 접속할 경우 감염돼 버린다. 만약 감염된 PC가 회사에서 네트워크 등을 형성하고 있다면 사태는 걷잡을 수 없다. 랜섬웨어는 해제 프로그램을 공유하지 않기 때문에 이럴 경우 피해 액수는 엄청나게 늘어난다.

 

▲ 중요 데이터는 백업이 필수다.

백업만이 살길

현재 랜섬웨어에 대한 확실한 대처법은 없다. 그저 PC 관리를 철저하게 하는 것만이 가장 좋은 방법이며, 중요 데이터는 꾸준히 백업해두는 것도 중요하다. 특히 랜섬웨어가 주로 노리는 파일들은 흔히 구할 수 있는 프로그램 파일보다 사용자가 피 땀 흘려 만든 문서나 그림 파일 등이다. 내용에 따라 값어치를 매길 수 없기도 하며, 없어지면 영원히 복구 못 한 파일도 있을 것이다.

기자 같은 경우, 사무실 PC에서 가장 중요한 파일은 당연히 원고 기사 파일이다. 작성을 마친 원고 파일이 랜섬웨어에 감염됐다면 멘붕에 빠질 것이다. 만약 걸렸다고 해도 해제 프로그램을 구매하는 것만큼의 값어치도 없어 눈물을 흘리고 다시 원고를 써야 하는 상황이 펼쳐질 것이다. 이런 일을 대비해 항상 원고 파일을 따로 백업해 관리하고 있지만, 자주 하는 편은 아니라 언제나 걱정이다.

백업하는 방법으로는 외장 하드나 USB 메모리가 일반적이고 원드라이브, 구글드라이브, 드롭박스 같은 클라우드 서비스도 상관없다. 얼마나 부지런히 백업하는 습관을 들이느냐에 따라 랜섬웨어에 걸렸을 때 피눈물을 덜 흘리는 척도가 될 것이다.

 

구 버전 IE 사용중지

보안성 업데이트가 되지 않는 구 버전 웹브라우저, 특히 인터넷 익스플로러(IE) 10 이하 버전은 사용하지 않는 것이 좋다. 만약 구 버전 IE를 사용하고 있다면 즉시 IE 11, 크롬 47, 파이어폭스 43.0 등 최신 웹브라우저로 교체해야 한다.

현재 구 버전 IE는 대부분 보안 지원이 중단된 상태다. 2016년 1월에는 IE 10도 중단될 예정이니 업데이트를 하지 않은 사람은 꼭 IE 11로 업그레이드하자. 보안 지원이 중단되면 해당 IE에서 보안 취약점이 발견하더라도 관련 패치가 제공되지 않는다. IE 11으로 업데이트했더라도 보안 패치는 필수다. 지난 12월 8일, 마이크로소프트(MS)에서 대량의 윈도우 보안 업데이트를 시행했다. IE 11은 물론 MS 실버라이트와 MS 오피스 등의 취약점이 해결된 것으로 아직 업데이트하지 않았다면 꼭 해두자.

▲ 어떤 사람은 아직도 윈도우 XP에 IE 6.0을 쓰고 있을 것이다.

특히 랜섬웨어는 불특정한 PC에 침투하기 위해 ‘드라이브 바이 다운로드’(Drive by Download) 방식을 가장 많이 이용한다. 드라이브 바이 다운로드는 웹브라우저 또는 플러그인 등의 보안 취약점을 이용해서 침투하는 방식을 뜻한다.

이 때문에 별도 프로그램을 설치하지 않아도 사용자가 모르게 랜섬웨어가 침투된다. 파일이 멋대로 바뀌고 난 후엔 이미 돌이킬 수 없다. 하지만 관련 보안성 업데이트를 하면 기존의 어지간한 랜섬웨어는 막을 수 있다.

 

업데이트 생활화

최근 이슈가 되고 있는 랜섬웨어의 주 침투 방법은 구 버전 어도비 플래시 플레이어의 보안 취약점을 이용하고 있다. 이 때문에 플래시 플레이어를 최신 버전으로 유지해야 한다. IE나 파이어폭스는 직접 플래시 플레이어를 업데이트해야 하며, 크롬과 엣지는 웹브라우저를 업데이트하면 플래시 플레이어도 함께 최신 버전으로 업데이트되는 방식이다.

▲ IE나 윈도우나 업데이트는 제때 해주는 것이 좋다.

자주자주 업데이트하는 것이 귀찮다면 웹브라우저의 플래시 플레이어 기능을 꺼놓거나, 웹브라우저에 플래시 플레이어를 설치하지 않는 것도 방법 중 하나다.

플래시 플레이어 외에도 윈도우 운영체제의 보안 허점을 노려 침투하는 경우가 있다. 평소에는 여러 가지 이유로 윈도우 업데이트를 꺼려했겠지만, PC를 안전하게 사용하고 싶다면 보안 패치는 업데이트될 때마다 반드시 설치해야 한다.

현재 MS에서 운영체제 보안 지원은 윈도우 7 이상만 지원하며, 윈도우 XP 등은 지원이 중단됐다. 윈도우 XP를 사용하는 사람이라면 보안에 더 신경 쓰거나 윈도우 7 이상으로 업그레이드하는 것을 추천한다.

 

▲ 잘 모르면 안 만지는 게 상책이다.

모르면 무조건 노터치

‘모르는 사람 오면 문 열어 주지 마’. 누구든 어렸을 때 부모님께 자주 들었던 말일 것이다. 모르는 사람이 와서 문 열어 달라고 하면 무턱대고 열어주지 말고 부모님께 연락해보는 것이 가장 좋다. 모르는 사람이 우리 가족에 대해 무언가 알고 있다고 해도 미리 뒷조사를 한 강도일 수 있다.

PC도 마찬가지다. 모르는 곳에서 보낸 이메일은 열지도 말고 그냥 삭제해 버리고, 모르는 프로그램도 마구 설치하는 습관을 버려야 한다. 어렸을 때는 남이 시키는 대로 하다가 왜 나이를 먹으면서 하지 말라는 것은 하고 싶은 마음이 더 커지기 마련이다.

호기심이 생기더라도 이런 이메일을 열어보거나 프로그램은 절대 설치하지 말아야 한다. 게임이나 프로그램 공짜로 하려 했다가 그동안 모아온 데이터를 한순간에 날려버릴 수 있다.

귀찮더라도 꼼꼼히 확인하고 정말 필요한 프로그램일 경우만 설치하면 된다. 이메일도 본인이 가입했던 사이트에서 보냈는지 자세히 따져보고 만약 영어로 된 메일이라면 과감히 휴지통에 넣자. 대부분의 한국 사람이라면 영어로 된 메일이 날아올 경우가 거의 없기 때문이다.

 

랜섬웨어, 제가 한 번 걸려보겠습니다!!

기사를 마감하려는 찰나, 거짓말처럼 기자의 PC가 랜섬웨어에 걸려버렸다. 왜 걸렸는지 어떻게 걸렸는지 영문도 모른 채 혼란에 빠졌다. 그것도 마감 중에 이런 게 걸리다니…정말 걸려도 타이밍이 참 기막히다.

하지만 멀뚱멀뚱 쳐다볼 수만은 없는 일. 랜섬웨어에 걸리고 난 후의 대응방법을 독자들에게 소개해볼까 한다. 아, 참고로 이거 때문에 갑자기 페이지가 늘어나서 다른 기획 기사가 날아간 것은 양해 바란다.

 

1. 랜섬웨어 침입하다

여느 때처럼 원고를 작성하고 있는데 PC가 느려지는 것을 느꼈다. 기자는 항상 원고를 작성할 때 습관적으로 저장 단축키인 ‘Ctrl+S’를 누르는 버릇이 있다. 이날도 아무 생각 없이 저장 단축키를 누르고 있었는데 이상하게 누를 때마다 PC가 느려지는 것이 아닌가?

이상하게 여겨 이런저런 폴더를 뒤져보던 순간 블루 스크린과 함께 재부팅됐다. 재부팅 후 ‘Congratulation!!!’라는 문구와 함께 영어로 도배된 html 파일과 똑같은 내용이 적힌 txt 파일, png 파일이 열렸다.

▲ 악성코드 설치해 놓고 왜 ‘축하한다’고 하는지 모르겠다.

랜섬웨어 기사를 작성하던 중 생긴 일이라 직감적으로 ‘아, 그런데 그것이 정말 사실이 됐구나’라는 생각과 함께 멍해졌다. ‘내가 여태껏 쓴 원고는?’, ‘작성 중이었던 원고는?’, ‘빨리 마감해야 하는데’ 등의 생각이 교차했다.

 

2. 시급한 격리 조치

기자의 PC에 침입한 랜섬웨어는 ‘크립토월’(CryptoWall)로, 안타깝게도 변형된 파일의 암호화를 풀 수 있는 방법이 없는 것이었다. 더구나 해제 프로그램도 1~2만 원 수준이 아닌 무려 700달러나 요구하는 녀석이다. 만약 모든 원고 파일이 날아갔더라도 철야를 하면서 원고를 다시 작성해야 하는 상황에 놓였다.

▲ 회사 네트워크 망에 연결돼 있다면 일단 랜선을 분리하자.

서둘러 정신을 추스른 후 해결 방법을 모색했다. 가장 먼저 했던 조치는 랜선 분리였다. 다른 기자들 PC에도 랜섬웨어가 옮겨가면 절대 안 되고 더 나아가 1월호를 작업 중인 서버에 들어가면 이번 호는 휴간해야 할지도 모른다는 생각이 들었기 때문이다. 랜선을 분리하면 적어도 랜섬웨어의 피해는 여기서 끝난다. 연결했었던 외장 하드도 얼른 분리했다.

 

3. 근원을 뽑아내다

그 후 최대한 랜섬웨어가 더 퍼지는 것을 막기 위해 문제의 근원을 찾기로 했다. 기자의 PC 운영체제는 윈도우 10 64비트이니 그걸 고려해서 참고하면 되겠다. 먼저 ‘작업 관리자’를 열어 ‘프로세스’와 ‘시작프로그램’ 탭에서 생전 처음 보는 프로그램을 강제 종료했다.

일단 급한 대로 더 퍼지는 것은 막았으니 원인이 되는 랜섬웨어를 지울 차례다. 안전 모드(네트워킹 사용) 환경으로 재부팅 후 본체 파일을 지워야 한다. 만약 표준 환경에서 제거했다면 곧바로 재부팅되니 주의해야 한다.

▲ 악성 코드를 찾아내는 프로그램을 사용하는 것도 좋다.

크립토월의 본체 파일은 ‘C:Users계정명AppDataRoaming’에 있다. AppData 폴더는 숨김 폴더로 돼 있으니 폴더 옵션에서 숨김 파일을 보는 옵션을 켜야 한다. 주의할 점은 폴더째로 지우면 안 되고 본체 파일만 지워야 한다. 크립토월의 폴더명은 랜덤 알파벳과 숫자가 혼용된 5~8자이며, 본체 파일은 랜덤 알파벳과 숫자가 혼용된 8~10자.exe 파일이니 찾기 쉬울 것이다. 만약 찾기 힘들다면 크립토월을 찾아주는 프로그램을 쓰는 것도 좋다. 크립토월의 경우, 'Threat Clean‘을 사용하면 쉽게 지울 수 있다.

 

4. 피해 상황 확인

급한 불은 껐으니 피해 상황을 확인해야 했다. 당시 기자가 사용하고 있었던 저장 장치는 SSD 1개, HDD 2개, 외장 HDD 1개, USB 메모리 1개다. 확인해보니 변형된 파일은 대부분 jpg, doc, xls, ppt, zip 등 사진과 MS 오피스, 압축 파일이었다.

불행 중 다행으로 한글 확장자인 hwp나 텍스트 파일, jpg 이외의 그림 파일은 무사했다. 원고 원본은 어떻게 건졌지만, 기사에 쓰일 jpg 확장자의 그림 파일은 초토화됐다. 이상한 이름의 파일로 바뀐 것을 보니 분노보단 허탈감이 몰려왔다. 이어 해당 파일의 원본이 어떤 것이었는지 기억이 안 난다는 것에서 또다시 멘붕에 빠졌다.

그나마 빠른 조치로 일부 파일만 변형됐다. 기자 PC의 경우 바탕화면 파일들과 ‘문서 폴더’, ‘다운로드 폴더’에 그쳤다. 다른 드라이브는커녕 C 드라이브도 전체 감염되지 않았다. 하지만 대부분의 기자가 그러하듯이 모든 원고는 바탕화면에 있다. 다시 한 번 멘붕이 밀려온다.

▲ 암호화 랜섬웨어에 유린당한 기자의 PC.

 

5. 일단 그냥 사용하기

1시간도 안 되는 짧은 시간이었지만 정신은 혼미했다. 재부팅을 해보니 경고창이 여전히 뜬다. 시작 프로그램에 ‘HELP_YOUR_FILES.html’, ‘HELP_YOUR_FILES.png’, ‘HELP_YOUR_FILES.txt’ 파일이 남아 있기 때문이다. 이 파일들을 지워주니 더 이상 경고창은 뜨지 않았다. 이대로 그냥 쓸까 고민도 했지만 아무래도 꺼림칙했다. 그래도 당장은 원고 마감이 먼저였기 때문에 1월호 마감 후 포맷을 기약했다.

해결 후 하루 정도는 문제없이 사용했다. 하지만 이윽고 또다시 똑같은 증상이 일어났다. 분명 다 찾은 줄 알았는데 어딘가에 숨어 있다가 PC를 공격하기 시작한 것이다. 이번에도 증상은 같았으며, 작성했던 원고의 한글 파일을 제외하곤 전부 암호화 공격에 당해버렸다.

다행히 암호화되기 전 미리 백업을 해뒀기 때문에 원고 작업을 다시 하는 일은 없었지만, 포맷을 나중으로 미뤄버렸다가 큰일 날 뻔했다. 원고 마감이고 뭐고 이대로는 모든 자료가 위험할 것 같아 바로 포맷하기로 마음먹었다.

 

6. 바이오스 진입 불가

그런데 이게 웬일? 포맷을 위해 바이오스 설정에 들어가려 했는데 도무지 진입이 안 되는 것이다. F2키와 DEL키를 아무리 눌러봤자 곧바로 윈도우 부팅으로 넘어갈 뿐이었다.

상태가 이상해 정보를 찾아봤다. 마침 기자와 같은 에이수스 메인보드에 비슷한 증상을 가진 사람이 있었다. 이 사람도 똑같이 크립토월과 씨름하고 있었다. 알고 보니 지난 11월을 기점으로 ‘크립토월 3.0’에서 진화한 신종 ‘크립토월 4.0’이 기승을 부리고 있었으며, ‘파일명과 확장자 모두 변경’, ‘바이오스 진입 불가’ 등의 증상이 추가됐다.

▲ 바이오스 설정 화면에 들어가려 했지만 묵묵히 윈도우 부팅만 한다.

여기에 차세대 방화벽 솔루션으로도 탐지할 수 없을 정도로 강력한 스텔스 기능을 가지고 있어 한 번 몰래 침투하면 범죄자가 원하는 시기에 마음대로 사용자 PC를 감염시켜 협박할 수도 있다. 심지어 윈도우 시스템 복원 파일까지 삭제해 사용자가 감염 상태 이전으로 되돌리는 것도 불가능하다.

어쩔 수 없이 바이오스를 초기화 작업에 들어갔고 바이오스 초기화를 하니 바이오스 설정에 진입이 가능했다. 힘겨운 삽질이 끝나고 그제야 PC를 포맷할 수 있었다.

 

 

파일 암호화 랜섬웨어, 이것만은 기억하자!

Q: 암호화 랜섬웨어에 감염되면 무엇부터 해야 하나?

A: 먼저 컴퓨터를 종료 후 안전 모드(네트워킹 사용)로 재부팅 해야 한다. 암호화 램섬웨어는 부팅 후 컴퓨터가 작동하고 있어야 암호화 작업을 할 수 있다. 그 때문에 더 이상 암호화 작업을 할 수 없도록 차단하는 것이 중요하다. 물론 크립토월 4.0처럼 F8 버튼조차 작동 안 되는 랜섬웨어라면 악성코드 본체를 신속히 제거 후 재부팅 하면 암호화 진행을 막을 수 있다. 또한, 컴퓨터에 공유된 네트워크가 있다면 랜선도 제거하자.

 

Q: 랜섬웨어에 암호화된 파일을 다른 PC에 옮기면 함께 감염되는가?

A: 암호화만 이뤄진 것이기 때문에 옮겨도 상관없다. 하지만 암호화된 파일을 복호화하는 것은 전문가라도 불가능에 가까우니 미련을 버리고 삭제하자.

 

Q: 암호화 랜섬웨어는 다른 PC나 기기에도 전파되는가?

A: 암호화 랜섬웨어는 본체를 통해 활동할 뿐 자체 복제나 전파 기능은 없다. 다만, 다른 기기가 연결됐을 때 본체가 활동하고 있다면 해당 기기의 파일도 암호화될 수 있다.

 

Q: 암호화된 파일을 복호화하는 것이 가능한가?

A: 최근 기승을 부리고 있는 암호화 랜섬웨어는 범죄자에게 복호화 프로그램을 받는 것 외엔 불가능하다. 게다가 복호화 프로그램을 받았다 하더라도 복구율은 70~90%에 불과하다. 피해를 줄이기 위해선 자주 중요 데이터를 백업하고 윈도우 복원 파일을 생성해두자.

 

Q: 랜섬웨어를 치료하거나 본체를 제거한 후 포맷해 운영체제를 재설치하지 않아도 되는가?

A: 그냥 사용해도 상관없지만 어떤 파일까지 변형됐는지 일일이 찾기란 쉽지 않다. 사용하다가 중요 결함이 생길 수도 있으므로 변형되지 않은 파일 중 중요한 파일을 백업한 후 포맷하는 것이 좋다.

 

Q: 랜섬웨어 예방법은 없나?

A: 100% 완벽한 예방법은 없지만, 운영체제와 Java, Flash Player 등 중요 프로그램을 최신 버전으로 업데이트하는 것이 중요하다. 악성 코드 실시간 감시 프로그램을 사용하는 것도 좋겠지만, 출처를 알 수 없는 파일을 다운로드 받거나 실행하지 말고 불법 P2P 프로그램 사이트나 해외 성인사이트 접속을 자제하자.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 2
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
포토그래피 2016-06-08 02:20:38
저는 사진작업하는사람인데...모든사진자료가 감염

2016-02-12 04:26:16
내일 포맷하러갑니다. ㅠㅠ