디지털 환경이 일상화되면서 사이버 보안 위협 또한 빠르게 증가하고 있습니다.
그중에서도 랜섬웨어는 개인과 기업 모두에게 큰 피해를 초래하는 대표적인 악성코드로 꼽히는데요.
중요한 문서와 사진, 업무 데이터를 암호화한 뒤 금전을 요구하는 특성 때문에 한 번 감염되면 복구에 상당한 시간과 비용이 소요될 수 있습니다.
따라서 랜섬웨어 뜻을 정확히 이해하고, 랜섬웨어 걸리는 이유와 예방 방법을 숙지하는 것이 무엇보다 중요합니다.
이번 글에서는 랜섬웨어 검사 방법부터 랜섬웨어 복구 가능성, 감염 시 대처법까지 자세히 알아보겠습니다.
랜섬웨어의 정의와 동작 메커니즘의 실체

[출처: SK쉴더스]
사이버 보안의 영역에서 적을 알고 나를 알면 백전백승이라는 말은 변함없는 진리로 통합니다.
우리가 이 악명 높은 위협에 효율적으로 아키텍처를 구성하여 대응하기 위해서는 가장 먼저 정확한 의미를 정립할 필요가 있습니다.
영어 단어의 조합에서 유래한 랜섬웨어 뜻은 인질의 몸값을 의미하는 ‘랜섬(Ransom)’과 소프트웨어(Software)가 결합된 형태의 합성어입니다.
즉, 컴퓨터 시스템에 침투하여 내부의 중요 파일들을 암호화하여 인질로 잡아두고, 이를 풀어주는 조건으로 금전적인 대가를 요구하는 악성 프로그램의 일종을 통칭하는 용어입니다.
감염이 발생하면 문서 파일이 열리지 않거나 사진 및 동영상에 접근할 수 없게 됩니다.
과거의 악성코드가 시스템을 파괴하거나 시스템 작동을 방해하는 형태에 그쳤다면, 현대는 철저하게 금전적 이득을 취하기 위한 비즈니스 모델 형태로 고도화되었다는 점에서 차이를 보입니다.
랜섬웨어 걸리는 이유와 취약점 분석

[출처: Sangfor Technologies]
많은 사용자가 “나는 이상한 사이트에 들어간 적도 없고 의심스러운 파일을 다운로드하지도 않았는데 왜 감염되었을까?”라며 억울함을 호소하곤 합니다.
하지만 사이버 범죄자들의 침투 수법은 날이 갈수록 교묘해지고 있으며, 사용자가 전혀 인지하지 못하는 교묘한 틈새를 노려 시스템을 파고듭니다.
보안 솔루션 업계의 분석 자료에 따르면 시스템이 마비되는 랜섬웨어 걸리는 이유는 크게 세 가지의 치명적인 경로로 압축해 볼 수 있습니다.
지능형 사회공학적 기법을 활용한 피싱 이메일
가장 빈번하게 발생하는 전통적이면서도 강력한 감염 경로입니다.
해커들은 저작권 위반 안내문, 법원 소환장, 입사 지원자의 이력서, 혹은 기업의 견적서나 송장(Invoice) 등으로 정교하게 위장한 이메일을 무차별적으로 발송하는데요.
사용자가 무심코 첨부된 압축 파일이나 매크로가 포함된 문서 파일을 실행하는 순간, 백그라운드에서 악성 스크립트가 구동되며 즉시 시스템 암호화 단계로 진입하게 됩니다.
최근에는 이메일 본문에 그럴듯한 악성 링크를 삽입하여 클릭을 유도하는 수법도 널리 쓰입니다.
출처가 불분명한 웹 서핑과 드라이브 바이 다운로드
보안이 취약한 웹사이트에 방문하는 것만으로도 감염이 이루어지는 무시무시한 기법입니다.
해커들은 방문자가 많은 불법 무료 영화 다시보기 사이트, 토렌트 공유 사이트, 혹은 일반 커뮤니티의 광고 서버를 해킹하여 악성코드를 숨겨놓습니다.
만약 사용자가 보안 패치를 최신으로 업데이트하지 않은 상태에서 해당 페이지에 접속하면, 어떠한 경고창도 뜨지 않고 브라우저의 취약점을 통해 악성코드가 자동으로 PC에 다운로드됩니다.
원격 데스크톱 프로토콜(RDP) 취약점 및 자격 증명 도용
주로 개인보다는 기업이나 재택근무자가 많은 환경에서 타깃형으로 발생하는 경로입니다.
외부에서 사내 PC나 서버에 접속하기 위해 열어둔 원격 데스크톱 포트를 대상으로 해커들이미리 유출된 계정 정보를 대입하여 관리자 권한을 탈취합니다.
서버 내부로 직접 걸어 들어온 해커는 설치되어 있는 백신 프로그램을 무력화한 뒤, 가장 가치 있는 핵심 데이터베이스와 백업 파일들을 수동으로 암호화하여 피해 규모를 극대화하는 방식을 취합니다.
랜섬웨어 검사 및 상시 진단 요령

[출처: 애플경제]
소리 없이 다가오는 위협으로부터 시스템을 보호하기 위해서는 정기적이고 정밀한 모니터링 시스템을 가동해야 합니다.
악성코드가 본격적으로 파일을 암호화하기 전, 시스템 내부에서 준비 작업을 거치거나 명령 제어(C&C) 서버와 통신을 시도하는 징후를 조기에 포착한다면 파국을 막을 수 있는데요.
시스템의 건강 상태를 점검하는 정기적인 랜섬웨어 검사 프로세스는 디지털 보안의 기본 중의 기본입니다.
윈도우 운영체제를 사용하는 일반 사용자라면 기본적으로 탑재되어 있는 ‘윈도우 디펜더(Windows Defender)’의 성능을 과소평가해서는 안 됩니다.
마이크로소프트가 글로벌 위협 인텔리전스를 기반으로 작동하기 때문에, 업데이트된 디펜더의 전체 검사 기능을 실행하는 것만으로도 알려진 변종 악성코드의 상당수를 사전에 걸러낼 수 있습니다.
디펜더 내부의 ‘제어된 폴더 액세스’ 기능을 활성화해 두면, 인증되지 않은 외부 프로그램이 문서나 사진 폴더의 파일을 강제로 수정할 때 즉각 차단하고 경고를 보내줍니다.
기업 환경이나 보다 전문적인 진단을 원하는 경우에는 글로벌 유명 보안 기업들이 무료로 제공하는 전용 툴을 활용하는 것이 현명합니다.
랜섬웨어 복구 프로그램의 현실
만약 불행하게도 방어벽이 뚫려 모든 파일이 암호화되었다면, 피해자들이 가장 먼저 인터넷 검색창에 두드리는 단어는 단연 랜섬웨어 복구 방법일 것입니다.
수년간 작업한 프로젝트 파일이나 아이의 성장 기록이 담긴 사진첩을 되살리기 위해 지라를 짚는 심정으로 복구 솔루션을 찾아 헤매게 되는데요.
결론부터 냉정하게 말씀드리면, 해커가 사용한 최신 독자 알고리즘으로 완벽하게 암호화된 파일은 시중에서 판매되는 일반적인 데이터 복구 소프트웨어로는 절대 되살릴 수 없습니다.
암호화는 파일이 ‘삭제’된 것이 아니라, 파일 내부의 데이터 구조 자체가 고도의 수학적 공식에 의해 다른 값으로 ‘치환’된 상태이기 때문입니다.
따라서 사설 복구 업체들은 대부분 피해자를 대신해 해커와 협상을 대행하고 몸값(Ransom)을 지불한 뒤 해커에게 복호화 키를 받아다 주는 ‘대행업체’에 불과한 경우가 절대다수입니다.
이 과정에서 수수료 명목으로 엄청난 추가 비용을 요구하기 때문에 소비자들의 2차 경제적 피해가 속출하고 있습니다.
노모어랜섬 프로젝트

[출처: ECTEG]
그렇다면 합법적이고 비용이 들지 않는 기술적 복구 프로그램은 전혀 없는 것일까요?
다행히 글로벌 보안 업계와 유관 기관들이 힘을 합쳐 운영하는 오아시스 같은 프로젝트가 존재합니다.
바로 ‘노모어랜섬(No More Ransom)’ 프로젝트입니다.
유로폴, 네덜란드 경찰, 그리고 카스퍼스키, 맥아피 등 세계적인 보안 기업들이 공동으로 구축한 플랫폼인데요.
사법 기관이 해커들의 총책을 검거하거나 서버를 압수하는 과정에서 확보한 정품 복호화 키들을 데이터베이스화하여 대중에게 무료로 배포합니다.
감염된 랜섬웨어의 종류를 확인한 뒤, 이 사이트에 감염된 샘플 파일과 랜섬노트를 업로드하면 완벽하게 구동되는 공식 랜섬웨어 복구 툴을 다운로드받아 데이터를 살려낼 수 있습니다.
따라서 사설 업체를 찾아가 거액을 지불하기 전, 반드시 이 공식 프로젝트의 데이터베이스에 내 파일의 암호 키가 등록되어 있는지 확인하는 절차를 거쳐야 합니다.
올바른 긴급 대처 매뉴얼

[출처: 요즘IT – 위시켓]
감염 사실을 인지한 최초의 순간 아래의 단계별 대처법을 뇌리에 명확히 각인해 두어야 피해의 확산을 막을 수 있습니다.
네트워크 물리적 차단 (가장 중요)
감염 징후를 발견한 즉시 컴퓨터에 연결된 랜선을 뽑거나 와이파이(Wi-Fi) 기능을 꺼서 인터넷 연결을 완전히 물리적으로 단절시켜야 합니다.
악성코드가 사내 로컬 네트워크나 집에 있는 다른 PC, 공유 폴더, 클라우드 동기화 드라이브로 침투해 들어가는 연결 고리를 끊어내는 작업입니다.
인터넷이 차단되면 해커의 서버와 추가적인 암호화 키 교환이 중단되어 아직 암호화되지 않은 나머지 파일들을 살려낼 수 있습니다.
외장 하드 및 백업 장치 분리
PC에 상시 연결해 둔 외장형 하드디스크나 USB 메모리, NAS 장치가 있다면 즉시 연결 케이블을 제거해야 합니다.
많은 사용자가 백업본을 지키기 위해 외장 하드를 연결한 채로 파일을 확인하려다가, 연결된 장치까지 악성코드가 타고 들어가 백업 데이터까지 통째로 암호화되는 끔찍한 실수를 저지릅니다.
증거 보존 및 시스템 상태 유지
화면에 뜬 안내 문구(Ransom Note)나 확장자가 변한 파일들을 임의로 삭제하거나 컴퓨터를 강제로 여러 번 리부팅하지 마십시오.
해커들이 남겨둔 텍스트 파일에는 어떤 변종 악성코드에 감염되었는지 확인할 수 있는 핵심 메타데이터가 포함되어 있어, 추후 기술적 복구 가능성을 타진할 때 중요한 단서가 됩니다.
현재 상태 그대로를 유지한 채 스마트폰 카메라 등을 이용해 화면을 촬영해 두는 것이 좋습니다.
피해 신고 및 전문가 자문 구하기
개인이 해결하려고 전전긍긍하기보다, 한국인터넷진흥원(KISA) 보호나라 인터넷침해대응센터(국번 없이 118)에 즉각 전 전화를 걸어 피해 사실을 신고하고 기술 지원을 요청해야 합니다.
최신 트렌드의 변종 유행 여부와 현재 기술적으로 무료 복구 툴이 나와 있는 종류인지를 가장 정확하게 진단받을 수 있는 공인된 통로입니다.
결론
랜섬웨어는 단순한 컴퓨터 바이러스가 아니라 개인과 기업의 핵심 데이터를 인질로 삼는 심각한 사이버 범죄입니다.
랜섬웨어 뜻을 정확히 이해하고 랜섬웨어 걸리는 이유를 숙지하는 것만으로도 상당수의 피해를 예방할 수 있는데요.
복구 프로그램이 존재하지 않는 경우도 많기 때문에 사후 대응보다 사전 예방이 훨씬 중요합니다.
평소 보안 수칙을 준수하고 의심스러운 파일과 링크를 경계하는 습관이야말로 랜섬웨어로부터 소중한 데이터를 지키는 가장 확실한 방법입니다.







