최근 며칠 사이 랜섬웨어의 폭격이라고 불릴 정도로 랜섬웨어 관련기사들이 쏟아지고 있다. 실제 그만큼 다양한 분야에서 랜섬웨어의 피해가 확산되고 있기 때문이다.
개인의 의료정보가 가득한 병·의원까지 랜섬웨어의 피해가 확대돼 추가적인 피해 확산이 우려된다. 랜섬웨어의 공격이 급격히 늘어나게 된 이유는 최근 랜섬웨어의 배포 형태가 변화했기 때문인 것으로 풀이된다.
과거 랜섬웨어가 이메일의 첨부파일, 메신저 등을 통해 유포되던 방식이었다면, 현재는 보안이 취약한 외부 광고서버의 플래시 배너를 통해 랜섬웨어가 유포되고 있다.
또 그 유포지로 대형온라인 뽐뿌나 클리앙 등의 커뮤니티가 활용되고 있다는 것이다. 대형 온라인 커뮤니티의 특성상 불특정 다수가 이용하고, 인터넷 IE를 이용해 해당 사이트를 이용하는 것만으로 감염되는 사례가 발생하고 있다.
문제는 이러한 랜섬웨어의 영향으로 개인 및 중소기업의 보안 위험과 피해가 커지고 있다는 사실이다. 과거 랜섬웨어로 인해 감염된 경우 공격자들이 요구하는 비용이 500달러(약 60만원)정도의 비용이었다면 현재는 1.2BTC 코인(약 102만원)에서 4BTC 코인(약343만원) 이상을 상회하고 있다.
문제는 비트코인의 단가는 지속적으로 급등을 하고 있다는 것. 기자가 최초 확인한 6월 10일 기준 69만원에서 4일이 경과한 14일 현재 약 85만원의 시세까지 올랐다.
결국 시간이 지날수록 그 피해 금액이 상승하고 있는 것이다. 그리고 공격자들은 일정 시간을 기준으로 그 금액을 올리며 피해액을 상승시키고 있다. 결국 점점 개인 및 중소기업이 감당하기에 어려운 상황이 만들어지고 있는 것이다.
결국 기자는 이와 관련해 개인 및 중소기업이 비용을 지급하지 않고 스스로 대응할 수 있는 방안을 알아보기로 했다.
그 준비과정으로 랜섬웨어에 걸려 전문업체를 통해 복구과정을 경험한 지인에게 변형된 랜섬웨어 샘플 파일(CRYPZ)을 얻어 실험을 준비했다. 다음으로 개인이 검색을 통해 랜섬웨어에 걸린 파일을 복구하기 위해 사용할 수 있는 3가지 방법을 확인했다.
3가지 방법은 카스퍼스키의 랜섬웨어 복구 툴(https://support.kaspersky.com/viruses/utility#rannohdecryptor), 안랩의 랜섬웨어 복구 툴(https://www.ahnlab.com/kr/site/download/product/productVaccineList.do), 트렌드마이크로의 랜섬웨어 복구 툴(http://www.trendmicro.co.kr/kr/tools/index.html)이다. 카스퍼스키의 랜섬웨어 복구 툴의 경우 감염된 파일과 동일한 원본 파일이 있어야 복구작업을 진행할 수 있는 방식으로 확인돼 제외했다.
먼저 안랩과 트렌드마이크로 모두 홈페이지 상에 CryptXXX 랜섬웨어 3.x에 대한 분석 후 일부 랜섬웨어의 종류에 대해 지원 및 부분복구가 가능한 것을 고지하고 있었다.
테스트방식은 변형된 샘플 파일(CRYPZ) 11개의 샘플(PPTX, DOCX, XLSX, HWP, BMP 등) 파일을 각각의 복구툴을 활용해 복구하는 방식을 선택했다.
사용방법은 각 사이트의 방법을 기준으로 테스트를 진행했다. 폴더에 해당 파일을 넣고 그 폴더를 지정해 복구과정을 진행하는 방식.
테스트 결과는 안타깝게도 안랩과 트렌드마이크로 모두 아직까지 CRYPZ 파일에 대한 복구를 지원하지 못했다. 물론 안랩과 트렌드마이크로 모두 CRYPZ 파일에 대하여 지원을 하지 못한다는 사실은 해당 사이트에 방문해 내용을 자세히 확인할 경우 확인이 가능하다.
결론적으로는 아직 결국 변형된 CRYPZ 파일에 대한 공식적인 복구방법은 없다는 것을 확인할 수 있었다. 현재까지 개발된 복구툴은 아직 제한적이라는 사실이다. 결국 감염된 경우 파일들을 복구하기 위해서는 해커에게 비용을 지급하고 암호 키를 받아 해결하거나 복구대행 업체의 손을 빌리는 방법밖에는 없다.
비용을 들이지 않고 복구하겠다는 마음을 먹었다면 안랩이나 트렌드마이크로 등에서 변형된 랜섬웨어에 맞는 복구 툴을 개발해주기를 기다려주는 방법이 있을 것이다. 기다리는 방법은 개인은 가능하겠지만, 주요 파일이 암호화된 중소기업에게는 기다릴 수 있는 시간적 여유가 없다는 점이 아쉬울 뿐이다.
많은 중소기업들이 해커 혹은 복구업체에게 비용을 지급하는 선택을 하게 되는 이유이기도 하다.
이러한 현실은 랜섬웨어에 대한 대책으로 예방이 최선이라는 결론에 다다르게 된다. 많은 보안업체들이 권하고 있는 방법이기도 하다. IE보다는 크롬이나 파이어폭스등의 브라우져를 이용해라, 자바나 어도비 플래시 플레이어는 최신버전으로 유지해라, IE를 사용해야 한다면 추가기능관리에서 Shockwave Flash 기능을 사용안함으로 변경해라, 윈도우 보안 수준을 권장사양으로 맞춰서 사용해라 등의 방법이다.
하지만 저 권장사항으로 업무를 하거나 인터넷을 활용하는데 있어 우리나라의 인터넷 환경은 상기 권장 사항을 적용해 원활히 이용할 수 있는 사이트가 제한적이라는 한계에 부딪히게 된다.
관공서 사이트는 이용을 위해 윈도우 보안 수준을 낮추라고 권장하거나, Shockwave Flash 기능을 사용안함으로 할 경우 이용할 수 없는 사이트가 너무 많은 것이 현실이다. 크롬이나 파이어폭스는 두말할 필요가 없다.
기자의 친구 회사는 결국 복구 대행업체에게 비용을 지급하는 선택을 했다고 한다. 의뢰한 업체가 해커에게 비용을 지급했는지, 아니면 처음 방문을 하였을 때, 약속을 했던 것처럼 복구 프로그램을 개발해서 복구작업을 완료한 것인지는 확인을 하지 못했다고 한다.
가장 시급한 것이 해당 파일들을 복구해서 업무가 다시 시작되는 것이었기 때문이다. 이 기사를 준비하던 중 다른 신문기사를 통해 우리나라가 랜섬웨어 피해국가 3위라는 자료를 접할 수 있었다.
이 순위가 자랑스러운 순위가 아니듯, 더 이상 정부가 랜섬웨어에 대한 해결책을 민간 업체에게만 맡겨서는 안된다는 경고로 받아들여주기를 기대한다.
