랜섬웨어의 폭격이라는 말이 무색할 정도로 무차별적인 랜섬웨어의 공격이 시작되고 있다. 피해자 숫자도 2014~2015년 동일 기간에 집계된 결과에 비해 5.5배나 증가한 수치를 보여준다. 랜섬웨어 피해 형태도 변종 랜섬웨어의 증가폭도 매우 빠르게 증가하고 있다는 것이다. 당연하지만 피해금액도 무서울 정도로 늘어나고 있다.
랜섬웨어의 피해사례가 증가하자 미래창조과학부는 악성코드에 감염된 이용자의 피해를 최소화하기 위해 내달 1일부터 ‘악성코드 감염 PC 치료 안내 서비스를 개선한다고 밝혔다.
무차별적인 랜섬웨어의 공격으로 인해 개인과 많은 기업들에게 피해가 발생한 상황이지만, 이제라도 정부가 대응을 하고 있다는 점에서 긍정적인 변화의 모습을 볼 수 있다.
현재까지 많은 보안업체의 랜섬웨어의 대비책은 예방을 하는 것으로 통일된다. 자료에 대해서는 주기적인 백업을 하고, 윈도우 보안 업데이트, 자바 및 플래시 최신 업데이트, 보안업체의 랜섬웨어 차단 기능의 설치 및 사용 등으로 요약된다.
과연 그렇다면 실제 랜섬웨어의 피해가 발생하였을 경우, 개인 및 중소기업의 사용자가 조치해야 할 사항은 무엇일까 그리고 복원 방법은 최근에 메일로 무차별적으로 배포되고 있는 locky랜섬웨어 사례를 중심으로 이야기를 해보자.
Locky 랜섬웨어의 경우 거의 100% 메일의 첨부파일을 통해 배포되는 형태를 보이고 있다. 메일명과 첨부파일명이 송장 또는 결제내역으로 위장한 Invoice, payment, service 등의 형태로 송부되다 보니 이러한 단어명과 익숙한 업체의 경우 자연스레 메일을 열게 되어 피해가 늘어나고 있다.
이 파일을 열게 되는 경우 해커들이 심어 파일에 의해 감염이 되어 파일이 오염되기 시작한다. Locky 랜섬웨어의 특징은 다른 랜섬웨어와 달리 파일명까지 변환시킨다는 특징을 가지고 있다. 그리고 본인뿐 아닌 암호가 걸리지 않은 다른 사람의 공유폴더까지 파일 변환이 진행된다. 파일 변환이 완료된 이후에는 숙주 파일은 삭제된다.
개인이나 중소기업의 입장에서 파일 암호화가 완료된 후 해결책을 찾기 위해 인터넷을 찾아보지만 포털사이트를 찾아봐도 나오는 건 복구 수수료를 받아 복구 업무를 대행해주는 대행업체의 사이트뿐이다. 그나마 안랩이나 이스트소프트 등 보안회사의 홈페이지를 통해 정보를 취득해보지만 자세한 정보를 얻는 것은 어려운 편이다.
그나마 한국랜섬웨어침해대응센터 사이트((https://www.rancert.com/)을 추천한다. 다른 사이트에 비해 랜섬웨어에 다양한 정보가 잘 정리되어 있는 편이다. 랜섬웨어에 대한 정보 습득에 도움이 될 것이다.
일단 LOCKY 랜섬웨어에 감염이 된 경우 감염이 일어난 폴더마다 ‘_HELP_instructions.html’라는 파일이 만들어지고 이 파일을 클릭할 경우 아래와 화면이 나타나는 것을 확인할 수 있다.
LOCKY 랜섬웨어의 경우 꼭 복구를 하고자 할 경우에도 다른 랜섬웨어와 달리 해커가 요구하는 비용을 쉽게 확인할 수가 없었다. 링크된 사이트 정보를 클릭하여도 일반적인 익스플로어 브라우저로는 확인이 불가했다.
그래서 링크된 사이트를 접속하여 익명 네트워크 통신을 위한 토르브라우저를 설치했다. 설치가 완료된 후 남겨놓은 주소를 복사 후 붙여 넣기를 통해 토르 브라우저 주소 창에 복사해 접속한 순간 해커의 요구금액을 확인할 수 있었다
해커가 요구한 비용은 2비트 코인으로, 당시 1비트코인의 시가는 78만원으로 즉, 해커가 요구한 비용은 156만원이 되는 것이었다. 하지만 해커비용을 확인하기 전 원격 등의 방법으로 해당 파일을 확인했던 여러 업체의 경우 해당 비용을 확인했을 텐데도 그들이 요구한 복구 금액은 220만원~300만원이었다. 비트 코인 금액 이외 위험 수당이라는 목적으로 최대 64만원~144만원을 마진을 붙여 복구 업무를 대행해준다는 것이다.
비용이 확인된 이 시점에서 복구 여부에 대한 결정만 남았다. 결정을 하기 전 기자는 여러 보안회사에 LOCKY 랜섬웨어에 대한 문의 해보았다. 최종적으로 더 이상 다른 방법이 없는 지에 대한 확인이었다.
결과는 LOCKY 바이러스에 대한 복구 방법은 현재까지 나온 것이 없다는 것이다. 혹시나 그렇다고 해커에게 돈을 주더라도 해커 측에서 관련 자료를 복구할 수 있는 툴을 주지 않을 수 있다는 경고성 안내를 해주었다.
하지만 현재 회사의 입장에서 중요한 자료가 랜섬웨어가 걸렸고, 이제는 결국 돈을 지급하는 방법밖에는 없다는 결론은 난 상태이다. 남은 것은 직접 비용을 지급할 것이냐, 아니면 복구대행 업체를 이용할 것이냐라는 결론만 남는다.
결과적으로 많은 회사들은 복구가 안될 시 비용을 받지 않겠다는 업체를 선택하게 될 것이고 기자의 선택도 동일했다.
데이터 복구업체로 유명한 A업체의 경우도 비트코인 비용 + 복구수수료의 형태로 비용을 책정하고 있었다. A업체의 경우 복구가 안될 경우 환불되는 비용의 한계가 복구 수수료에 한정됐지만 다른 복구 대행업체의 경우 190만원~300만원 대로 A업체보다 비쌌지만 미복구시 전액환불이라는 조건을 내세웠다.
복구과정은 간단했다. 복구 금액 입금, 복호화 툴 수령, 복호화 프로그램 실행을 통한 LOCKY 랜섬웨어 해제 과정이었다. 복구업체의 과정은 결국 해커가 제공한 복구툴을 실행해 암호화된 파일을 풀어주는 방식일 뿐 그 이상의 의미는 가지지 못했다.
현재 랜섬웨어의 공격을 극에 달하고 있으며, 앞으로도 많은 피해가 예상된다. 랜섬웨어 대해서 앞으로는 감염 전에는 예방을 위한 대책이, 감염 이후에는 복구비용에 대한 철저한 검증을 시도하는 노력이 필요할 것 같다.
