랜섬웨어

모두가 만들어 가는 위키 시보드위키
최근 수정 :

랜섬웨어

다른 표기 언어 Ransomware

요약 컴퓨터 사용자의 파일을 담보로 금전을 요구하는 악성 프로그램

목차

접기
  1. 개요
  2. 감염 경로 및 특징
  3. 종류
    1. 크립토락커(Cryptolocker)
    2. 워너크라이(WannaCry)
    3. 페트야(Petya)
  4. 예방

개요

랜섬웨어(Ransomware)는 영어로 ‘몸값’을 의미하는 ‘Ransom’과 ‘소프트웨어(software)’의 ‘Ware’를 합성한 말이다. 악성 프로그램의 일종으로, 사용자 동의 없이 컴퓨터에 설치되는 것이 일반적이다. 랜섬웨어는 사용자의 문서 등 중요 파일을 암호화하여 파일을 사용할 수 없게 만든 후 암호를 풀어주는 대가로 금품을 요구한다.

랜섬웨어를 통해 암호화된 파일은 암호키 없이는 복구할 수 없는 경우가 대부분이며, 금액을 지급하더라도 파일이 복구된다는 보장은 없다. 특히 감염 후 사용자의 클라우드나 파일 서버까지 감염이 확산하는 경우도 있다는 점에서 치명적이다.

랜섬웨어
랜섬웨어

감염 경로 및 특징

주로 불법 프로그램을 설치하거나 이메일의 첨부 파일을 열 때 자동 설치된다. 최근 몇 년 사이에는 ‘드라이브 바이 다운로드(Drive-by-Download)’ 방식으로 유포되는 랜섬웨어가 늘어난 것으로 알려졌다. 드라이브 바이 다운로드는 보안이 취약한 사이트에 악성 코드를 심어, 보안 패치가 되지 않은 방문자를 노리는 방식이다. 첨부 파일을 열거나 파일을 다운받지 않아도 웹서핑만으로도 랜섬웨어에 감염될 수 있는 것이 특징이다.

랜섬웨어는 비트코인과 같은 전자화폐 방식으로 돈을 요구해 추적이 어려운 것이 일반적이다. 비트코인(Bitcoin)은 온라인상의 가상화폐로 일반 통화와 달리 발행 주체가 없다. 특정 회사나 개인이 운영하는 것이 아니므로 지갑 파일 형태로 저장되며, 지갑에 따라 각각 고유 주소가 부여된다. 비트코인은 그 주소를 바탕으로 거래되어 거래가 이뤄져도 서로의 익명성이 보장된다.

종류

크립토락커(Cryptolocker)

2013년 처음 등장한 크립토락커 랜섬웨어는 가장 악명높은 랜섬웨어 중 하나다. 크립토락커는 컴퓨터 내의 모든 파일과 네트워크 드라이브의 파일을 암호화하며 암호 해독 키를 대가로 현금을 요구한다. 암호화가 끝나면 100시간의 카운트다운이 시작되며, 시간 내 입금하지 않으면 모든 데이터가 삭제된다. 2015년 4월 크립토락커의 한글 버전이 드라이브 바이 다운로드 방식으로 유포되어 논란이 일기도 했다.

워너크라이(WannaCry)

2017년 5월 전세계 90개국 이상에서 워너크라이(WannaCry) 랜섬웨어가 대규모로 전파되었다. 워너크라이는 마이크로소프트 윈도우(Windows) 운영체제에서 파일 공유에 사용하는 서버 메시지 블록(SMB)의 취약점을 이용한 랜섬웨어다. 윈도우 보안패치를 적용하지 않아 보안이 취약한 PC로 전파되며 PC 내 다양한 문서파일과 압축파일, DB 파일 등을 암호화하여 사용할 수 없게 만든다. 워너크라이 랜섬웨어 예방을 위해서는 출처가 불분명한 전자우편을 열람하지 않고 윈도우 운영체제와 백신 프로그램을 업데이트하여 최신으로 유지해야 한다.

워너크라이 랜섬웨어의 한국어 감염창
워너크라이 랜섬웨어의 한국어 감염창
페트야(Petya)

워너크라이처럼 MS 윈도우의 서버 메시지 블록(SMB) 취약점을 노린 랜섬웨어다. 2016년부터 러시아와 우크라이나, 영국 등에서 페트야 랜섬웨어 피해가 확산되고 있다. 기존 랜섬웨어와 달리 파일 암호에서 그치지 않고 마스터 부트 레코드(MBR)까지 암호화하는 것이 특징이다. 마스터 부트 레코드 정보가 파괴되면 사용자는 PC를 실행할 수 없다. 2017년 3월 마이크로소프트(MS)가 페트야 등의 랜섬웨어 공격을 예방하기 위해 SMB 취약점을 패치한 보안 업데이트를 배포하기도 했다.

예방

랜섬웨어 예방을 위해서는 먼저 컴퓨터 등의 네트워크를 단절해야 한다. 윈도우(Windows) 방화벽 설정을 변경해 감염 경로를 차단하고 윈도우와 백신 프로그램의 최신 업데이트를 실행한다. 예방을 위해 평소에 윈도우 운영체제와 백신을 꾸준히 업데이트하는 것이 중요하다. 또한, 중요한 자료는 별도의 저장장치에 미리 백업해두는 것이 좋다.

워너크라이 랜섬웨어 예방법

1) 네트워크 단절
PC 전원을 켜기 전, 연결된 랜선을 뽑거나 와이파이를 미리 꺼 네트워크(인터넷) 연결을 단절한다. 그런 다음 PC 전원을 켜고 윈도우(Windows) 보안설정을 변경해 감염 경로를 차단해야 한다.

2) 방화벽 설정 변경
제어판의 시스템 및 보안 항목에서 Windows 방화벽 고급 설정에 들어가면 SMB에 사용하는 포트를 차단할 수 있다. Windows 방화벽 ‘고급설정’의 ‘인바운드 규칙’에서 ‘새 규칙’을 클릭하면 새 인바운드 규칙 마법사 창이 뜬다. 만들려는 방화벽 규칙 종류 중에서 ‘포트’를 선택한 뒤 다음을 누른다. 프로토콜 및 포트 항목이 나오면 ‘TCP’와 ‘특정 로컬 포트’를 선택하고 오른쪽 창에 ‘139, 445’를 쓰고 다음 버튼을 누른다. 작업 항목이 나타나면 ‘연결 차단’을 선택하고 다음 버튼을 누른다. 프로필 항목에서는 도메인과 개인, 공용 항목을 모두 체크하고 다음 버튼을 누른다. 마지막에는 이름을 설정하고 마침 버튼을 누르면 차단이 완료된다.

3) 보안 업데이트
방화벽 설정 변경이 끝나면 윈도우 운영체제를 최신으로 업데이트한다. 또한, 사용하고 있는 백신 프로그램을 업데이트하여 대비하는 것이 좋다.

한국인터넷진흥원(KISA)

참고문헌

・ 한국인터넷진흥원(KISA) www.kisa.or.kr