랜섬웨어, 내 컴퓨터가 인질이라고?

2017-07-10

박지민 기자 | 94pjimin0303@hufs.ac.kr

조회수 2969 댓글 0

지난 14일 미래부에서 전 세계의 랜섬웨어 확산으로 국내 피해가 예상된다며 사이버 위기 ‘주의’ 경보를 발령했다. 국가정보원 국가사이버안전센터는 전 세계 랜섬웨어 ‘워너크라이(WannaCry)’확산 및 변종 출현에 대비해 사이버 위기 경보를 ‘관심’에서 ‘주의’로 상향 조정했다. 전문가들은 이번 달 둘째 주 주말 동안 수 천대의 PC가 감염됐을 것으로 추정하고 있다. 랜섬웨어는 내 PC에도 침범할 가능성이 있으므로 각별한 주의가 필요하다.
랜섬웨어는 무엇이며, 왜 유행하기 시작한 것인가? 감염 이유와 예방법은 무엇인가?

Q.랜섬웨어란 무엇인가?

기본적으로 모든 하드웨어나 소프트웨어를 이용하는 과정에서 이유 없이 오류 메시지가 출력되거나 기기가 오작동하는 경우가 있다. 이는 기기의 고장이 이유이기도 하지만 하드웨어나 소프트웨어 자체의 결함이 원인인 경우도 많다. 이러한 현상을 버그(Bug)라고 하는데 해당 하드웨어와 소프트웨어를 구성하고 있는 프로그램 내용 중에 잘못된 코드가 들어있다는 것이다. 버그의 이상한 동작을 파고들어 해가 되는 프로그램을 심어버리는 것이 바이러스이고 해커들이 바이러스를 만들어 낸다. 이 바이러스 중 사용자의 데이터를 인질로 삼고 돈을 요구하는 랜섬웨어가 있다.
랜섬웨어(Ransomware)는 몸값을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어이며, 사용자의 동의 없이 컴퓨터에 불법으로 설치돼 사용자의 파일을 인질로 잡아 금전을 요구하는 악성 프로그램을 말한다. 예전의 악성 프로그램들은 시스템을 망가뜨리거나 사용자 정보를 이용하기 위한 목적이 있었다. 하지만 이 랜섬웨어는 시스템을 건드리진 않지만 ‘암호화 알고리즘’을 이용해서 사용자 데이터를 암호화해 데이터를 사용할 수 없게 만들고 이를 다시 해제해 사용할 수 있도록 해 주겠다며 돈을 요구한다. 원래 암호화는 키(key)를 사용하여 사용자의 데이터가 유출되었을 경우 중요한 자료가 악의적으로 사용될 수 없게 하는 정보 보호의 기능으로 사용한다. 랜섬웨어는 이 암호화 기능을 이용하 자신만 아는 키를 이용해 데이터를 암호화하고 이를 해제하는 키를 제공하겠다며 돈을 요구하는 것이다.

Q.랜섬웨어 감염은 어떤 경로로 감염되는가?

기존에는 브라우저를 통해 해킹된 서버나 사이트 자체에 접속해야 감염되는 드라이브 바이 다운로드(drive-by download) 방식이나 이메일의 첨부 파일 형태로 감염하는 방식이 있었다. 그러나 최근 논란의 중심에 있는 워너크라이는 윈도우 운영체제의 취약점을 이용하기 때문에 인터넷 연결만으로도 감염될 가능성이 있다. 이 랜섬웨어는 SMB(Server Message Block)를 이용해 PC를 공격한다. SMB는 마이크로소프트사의 운영체제에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식이다. 이번 랜섬웨어 사건은 MS17-010 (Microsoft Windows SMBv2 원격코드 실행 취약점)을 통해 감염된 것이다. 마이크로소프트사에서 지원을 중단한 윈도우 XP(Windows XP)와 그 이후의 운영체제가 많은 타격을 입었다.
마이크로소프트사 측에서 워너크라이의 약점을 알고 이번 해 3월에 보안패치를 만들었지만, 돈을 지급해야 했기에 많은 이용자가 보안패치를 적용하지 않았고 이에 따라 피해가 더 커진 것이다. 윈도우 7(Windows 7)부터는 방화벽을 설치할 수 있고, 윈도우 10(Windows 10)은 자동으로 방화벽이 업데이트되기 때문에 큰 피해를 입지 않았다. 다행히 워너크라이의 취약점을 발견한 영국의 보안 전문 회사 멀웨어테크(Malware Tech)가 ’킬 스위치‘를 발견해 확산을 막았다.

<SMB 취약점 영향을 받는 시스템>
Windows 10 (취약점을 갖고 있으나, WannaCryptor의 공격대상은 아님)
Windows 8.1
Windows RT 8.1
Windows 7
Windows Vista
Windows XP
Windows Server 2016
Windows Server 2012 R2
Windows Server 2008 R2 SP1 SP2
Windows Server 2003

출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog]

Q.데이터 인질을 통한 어둠의 돈, 비트코인은 무엇인가?

많은 랜섬웨어에서 비트코인을 요구한다. 비트코인은 2009년에 사토시 나카모토가 개발한 세계 최초의 암호 화폐로 타 화폐에 비해 높은 자유성과 투명성에 가치를 가지고 있다. 국가에 의해 통제되지 않는다는 점은 큰 장점으로 국가의 이해관계에 따른 환율조작이나 양적 완화, 금리조정 등에 따라 가치가 조작될 위험에 처하지 않는다. 그리고 정해진 알고리즘에 따라 향후 100년간 일정한 양을 생산한다. 게다가 비트코인 블록에는 모든 거래 기록이 남는다.
하지만 비트코인은 안정성이 떨어지는데 실물의 부재와 법적 장치가 없기 때문이다. 비트코인은 법정화폐도 아니고 실물화폐도 아니다. 따라서 법적으로 가치를 보장하지 않기 때문에 보장의 원천이 없고, 그 가치는 시장참여자들의 수요와 공급에 전적으로 달려있다. 이에 따라 가치의 급격한 변동성을 지닌다. 실례로 2013년 12월 중국 정부가 금융기관의 비트코인 거래를 금하자마자 3일 만에 $1200에서 $600까지 떨어졌다. 또한, 투명한 시스템과 거래 내력이 기록된다고는 하나, 해커가 공공장소의 PC를 이용하는 것 등 익명으로 비트코인을 이용할 수도 있다. 범죄 화폐로 쓰일 위험성이 있다. 이번 달 발생한 ‘워너크라이 사태’를 봐도 알 수 있듯이 이미 인터넷 범죄 화폐로 널리 쓰이고 있다.

Q.랜섬웨어 예방법은 있는가?

첫째, 랜선을 뽑고 와이파이를 끈다. 이를 통해서 PC 전원을 켜자마자 감염될 수 있는 랜섬웨어를 예방할 수 있다.
둘째, 방화벽 설정 변경을 통해 SMB 관련 포트를 차단해야 한다. 다음은 한국인터넷진흥원에서 제공하는 감염 경로 차단하는 법이다.

(1) PC의 [제어판]에서 [시스템 및 보안] 클릭
(2) [Windows 방화벽]에서 [고급 설정] 클릭
(3) [인바운드 규칙]에서 [새규칙]을 누르고 [포트], [다음] 클릭
(4) [특정 로컬 포트]에서 [137-139,445] 쓰고 [다음] 클릭
(5) [연결 차단]에서 [다음] 클릭
(6) [도메인, 개인, 공용 체크 확인]에서 [다음] 클릭

셋째, 소프트웨어 운영체제를 최신 버전으로 유지해야 한다. 윈도우의 경우 마이크로소프트사에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전 업그레이드 및 최신 보안패치를 적용해야 한다.
넷째, 중요 정보의 경우 백업(Backup)을 해야 한다. 우리 학교의 경우 학생들에게 오피스 365(Office 365)와 1TB의 마이크로소프트사의 원 드라이브(One Drive)를 제공한다. 중요한 정보를 원 드라이브에 저장해 정보를 보호하는 것도 좋은 방법이다. 또한, 외장메모리를 구입해 정보를 저장하는 방법도 있다. 항상 출처를 알 수 없는 메일의 첨부파일을 함부로 열지 않고 의심스러운 사이트에서 자료 또는 프로그램들을 다운로드 받지 않는 것이 내 PC를 안전하게 지키는 길이다.

박지민 기자 94pjimin0303@hufs.ac.kr