컴퓨터 온라인 협박 랜섬웨어 그 실체는

컴퓨터 온라인 협박 랜섬웨어 그 실체는 어떻게 되는지 알아보려고 합니다.

랜섬웨어?

랜섬웨어는 영어로 Ransomware라고 불리는데 몸값이라고 불리는 Ransom 이라는 단어와 소프트웨어,하드웨어와 같이 제품을 말하는 xx웨어의 뒷부분을 따서 랜섬웨어라는 합성어로 불리고 있습니다. 본인의 컴퓨터(데스크톱)에 있는 문서,동영상등 대부분의 파일을 암호화시켜 실행이 불가능하도록 만든 다음 해당 컴퓨터 사용자에게 금전적인 요구를 하여 해당 파일을 원상태로 복구시켜주는 작업을 하게 되는데요 랜섬웨어는 사용자의 동의 없이 컴퓨터에 무단으로 설치되어 해당 문제를 일으킨다는 점에서 큰 사회적 문제를 일으키고 있습니다. 랜섬웨어는 컴퓨터(PC)에서만 작동하는 것이 아닌 모바일 환경에서도 발생한다고 알려져 있으며 감염사례 역시 존재한다고는 하지만 실제 주위에서 컴퓨터에 랜섬웨어 감염사례는 간혹 보았으나 휴대폰(스마트폰)을 통한 랜섬웨어 감염사례는 아직까지 들어본 적이 없습니다.

2017년 현재 가장 조심해야 할 바이러스 1순위로 꼽히고 있으며 컴퓨터가 이상하거나 잘 되던 문서 또는 동영상이 열리지 않는다는 증상 및 보고를 받았을때 해당 컴퓨터를 확인해보면 십중팔구 랜섬웨어에 감염되어 있습니다. 국산 백신 프로그램은 랜섬웨어 방어를 하지 못하는 경우가 많지만 이룹 해외 백신 프로그램은 랜섬웨어 프로그램이 작동하기 전 또는 작동하는 중 랜섬웨어 암호화 작업을 차단시키기도 합니다.

랜섬웨어와 비트코인

사실 해당 바이러스가 랜섬웨어라고 불리기 이전에도 랜섬웨어와 비슷한 바이러스는 존재했었습니다. 바이러스의 목적이라는 것 자체가 컴퓨터를 사용하기 어렵게 만드는데 목적이 있었기 때문에 각종 바이러스로 인해 컴퓨터가 사용불능에 빠지는 경우는 언제나 흔하게 일어났었으니까요. 하지만 이러한 방식은 단순히 바이러스로 인해 컴퓨터에 이상이 발생하는 경우가 대부분이었으며 협박같은 것은 거의 일어나지 않았습니다. 2009년 1월 비트코인이 출시함에 따라 랜섬웨어 협박범들은 랜섬웨어 복호화를 댓가로 비트코인을 결제수단으로 요구하기 시작합니다. 비트코인이 복호화 결제수단으로 이용되기 시작한 시기는 비트코인 초창기가 아닌 대략 2015년부터 활발하게 이루어졌으며 그 전에도 비트코인 요구는 있었지만 시세가 온전치 않고 대포통장을 이용한 협박을 진행했기 때문에 범죄자 추적이 어느정도는 가능했습니다.

비트코인이 결제수단으로 정착되는데 한몫 한 이유는 비트코인이 온라인 가상화폐임에도 불구하고 비트오킨지갑의 주인을 찾는다는것이 거의 불가능하기 때문이었다는 점이 큰 이유로 자리잡고 있습니다. 비트코인 결제를 위해서는 일반적인 사이트가 아닌 사이트 주소가 onion으로 끝나는 일명 딥웹이라는 사이트만을 비트코인 지갑 주소로 내 걸고 해당 주소에 접속하기 위한 전용 브라우저인 토르 브라우저를 설치하여 접속하라고 친절하게(?) 설명까지 하고 있습니다. 결국 각종 랜섬웨어들이 활개를 치기 시작하였고 랜섬웨어라는 단어는 IT쪽 관계자라면 누구나 한번쯤은 들어봤거나 주위사람들이 당해봤을만한 악마의 바이러스로 알려지게 됩니다.

2015년 이전까지는 해외 사이트에서 랜섬웨어가 감염되었다는 사례는 종종 보고된 적이 있었으나 2015년 이후 한국 웹사이트까지 침투하게 되어 유행을 타기 시작하였습니다. 특히 한국인의 특성상 모든 것을 빨리빨리 처리해야 하며 단기간안에 실적을 내야하는등 갑을관계에서의 무리한 요구 그리고 액티브X와의 결합으로 인해 윈도우 익스플로러를 주 기반으로 사용하는 사이트들이 많이 있어 랜섬웨어 확산은 더욱 가속화 되었습니다. 현재 가장 많이 사용되고 있는 랜섬웨어 감염방식은 크게 두가지로 볼 수 있는데요 가짜이메일을 통한 감염 프로그램 배포방식과 플래시 취약점을 이용한 방식 두가지가 있습니다. 가짜이메일을 통한 감염 프로그램 배포방식은 사용자가 이메일에 있는 첨부파일을 열지만 않는다면 문제의 발생 소지는 적으나 플래시 취약점을 이용한 랜섬웨어는 사실상 막을 방법이 없는데 좀 더 자세히 말하자면 플래시 기능 중 자동실행 스크립트가 존재합니다. 플래시 취약점에 해당하는 자동실행 스크립트를 이용하여 홈페이지에 있는 플래시의 자동실행 스크립트를 랜섬웨어와 결합시켜 사용자도 모르는 사이에 랜섬웨어 감염이 진행되는 것입니다.

2015년경부터 한국에서 급격하게 퍼진 랜섬웨어는 초기 2비트코인을 요구했었습니다. 그 당시만 해도 비트코인가격은 약 5~60만원정도로서 2비트코인이라 하면 대략 많게는 150만원정도의 금전을 요구한 셈이나 마찬가지입니다. 하지만 비트코인 시세가 점차 오름에 따라 2017년 4월말 현재 1비트코인 시세는 대략 148만원대를 기록중에 있으며 랜섬웨어에 감염되더라도 모든 것을 포기하고 하드디스크 포맷을 진행하는 사람들이 늘어나게 되자 비트코인을 2비트코인에서 1비트코인대로 낮추게 됩니다. 그렇다고 해서 비트코인을 지불하면 복호화 프로그램을 주느냐고 물으신다면 그것마저 복불복이며 2015년~2016년만 해도 복호화 프로그램을 주는 경우가 많았다고 하지만 그 당시 역시 프로그램을 받지 못한 사람은 존재했으며 이제는 랜섬웨어에 걸렸다고 하면 비트코인을 통해 복호화 프로그램을 요청하는 것이 아닌 10명이면 10명 모두 윈도우 재설치를 진행하게 됩니다.

랜섬웨어에 감염되면 어떻게 되나?

우선 가장 쉽게 알 수 있는 증상은 사용하던 문서나 그림파일들이 모두 암호화 처리됩니다. 그나마 다행이라는 점은 이미 실행중인 엑셀,워드문서 같은 경우 수정작업이 불가능하여 랜섬웨어에 감염이 되지 않는다는 점인데요 이러한 파일을 제외한 컴퓨터에 저장된 대부분의 파일들이 암호화되어 읽을 수 없는 상태로 변합니다. 랜섬웨어가 암호화 할 수 있는 종류는 2015년만해도 대부분의 문서,그림,영상파일이 암호화 되었지만 한글문서의 확장자인 hwp는 암호화가 되지 않았습니다. 그러나 한글문서인 hwp파일 마저 해외 랜섬웨어 제작자들에게 중요한 문서라고 인식이 되자 마찬가지로 hwp문서마저 랜섬웨어 감염대상에 포함되고 있습니다.

랜섬웨어 감염시 피해를 크게 보는 직업은 일반 사무직이 아닌 그래픽 및 영상편집 종사자들입니다. 그림 및 영상의 특성상 문서보다는 용량이 크며 고화질 영상 또는 그림파일의 경우 수십메가에서 크게는 기가단위까지 가는 경우가 많은데 이러한 파일이 한두개만 있는 것도 아니고 하드디스크의 용량이 모자라 전용 스토리지까지 이용하는 경우가 많습니다. 파일 용량이 거대한 직업 특성상 백업을 하기도 쉽지 않아 백업을 하지 않고 그대로 사용하다 피해를 보기 매우 쉬운 구조를 가지고 있습니다. 랜섬웨어 구조상 암호화 하는데 상당한 시간이 소요되기에 일반 사무직계열에서 사용하는 문서의 경우 쉽게 암호화가 이루어지지만 파일용량이 큰 경우 암호화 하는데 상당한 시간이 소요되기 때문에 겉만 암호화시킨 뒤 속은 나중에 암호화를 한다든가 암호화 도중 사용자가 알아챈 뒤 랜선 해제 또는 랜섬웨어 프로그램 제거까지 할 수도 있습니다. 

네트워크를 이용한 경우 랜섬웨어에 감염되었다면 상황이 더 심각해질 가능성이 있습니다. 회사 공유폴더를 열어놓은 채로 랜섬웨어 감염시 내 컴퓨터 뿐만 아니라 회사 공유폴더까지 랜섬웨어 바이러스가 침투하기 때문에 복호화 프로그램을 줄 지는 모르겠으나 랜섬웨어 복호화 프로그램 특성상 PC단위로 돈을 지불해야 복호화키를 줄 가능성이 생기므로 네트워크 파일 이용시 상당한 주의를 요하고 있습니다.

랜섬웨어 대처법은 무엇이 있을까?

랜섬웨어 대처법은 이미 랜섬웨어에 감염이 된 경우에는 대처법이 없다고 할 수 있습니다. 그렇기 때문에 랜섬웨어는 예방법이 중요하지만 모든 예방법이 그렇듯 완벽한 것이 없으므로 본인이 이용하는 사이트 외 이상한 사이트 예를들면 구글을 통하여 불법프로그램을 찾기 위한 해외 홈페이지를 이용한다든지 처음들어가보는 사이에 접속한다든지 하는 행위를 가급적 중지해야 합니다. 대한민국 대표 백신 프로그램인 V3,알약은 랜섬웨어 대응책이라고 C드라이브 최상위 폴더인 루트 폴더에 랜섬웨어 방어용 페이크폴더 및 페이크파일을 심어놓고 해당 폴더의 파일이 변조될 경우 해당 파일을 변조시킨 프로그램을 랜섬웨어로 인식하여 작업행위를 차단시키는 방식을 취하고 있습니다. 하지만 이 방법은 2016년 중반정도까지 가능했던 방식으로 랜섬웨어 역시 진화의 진화를 거듭해 현재 이 방법으로는 랜섬웨어 감염 방어가 불가능합니다. 즉 이 방법으로 랜섬웨어를 감염시키는 행위를 막을 수 있다고 했던 이유는 랜섬웨어 감염방식이 폴더를 차례대로 읽어 암호화시키기 때문에 가장 최상위 폴더인 페이크파일이 심어져 있는 폴더를 암호화시키다 걸리게 된다는 의미에서 제작된 예방법이었습니다. 하지만 말 그대로 진화를 해온 랜섬웨어는 현재 최상위폴더가 아닌 가장 중요한 윈도우 바탕화면을 위주로 암호화를 진행하며 최상위 폴더(루트폴더)는 건드리지도 않는 형식을 취하는 등 변칙적인 랜섬웨어 감염형태를 띄고 있습니다.

그렇다면 랜섬웨어의 암호화 방식인 확장자 변경시 탐지를 하면 되지 않느냐고 물으시는 분들도 계실텐데 파일 확장자 변경을 실시간 탐지한다는 것이 쉬운일이 아닌지 랜섬웨어가 유행한지 2년이 되었음에도 불구하고 대한민국 대표 백신업체인 V3,알약에서는 해당 방법을 사용하지 않고 있으며 일부 해외 백신 프로그램에서 이 방식을 사용중에 있습니다. 이도저도 아니라고 생각하며 내 파일을 가장 정확하게 보호할 수 있는 방법이 단 하나 존재하는데 바로 윈도우 사용자 계정 컨트롤을 끄지 않는 것입니다. 윈도우 사용자계정 항목에 있는 사용자계정 컨트롤은 기본적으로 4단계로 분류되어 있는데 기본 설정은 2단계로 되어 있습니다. 하지만 사용자들이 프로그램을 설치하려하면 알람이 뜨는 경우가 너무 잦기 때문에 어느정도 컴퓨터를 다룰 줄 안다는 사람들은 대부분 사용자 계정 컨트롤 항목을 4단계인 최소단계로 낮춰버리곤 합니다. 사용자 계정 컨트롤을 최고단계인 1단계로 지정해놓을 경우 파일 실행이 아닌 컴퓨터 환경설정시에도 경고 메세지가 나오기 때문에 불편한점이 이만저만이 아니므로 파일 실행시 경고를 하는 2단계로만 유지하더라도 랜섬웨어를 1차적으로 막을 수 있습니다. 말 그대로 예스맨인 경우 랜섬웨어가 실행직전 아무것도 모르고 예를 눌러 실행시키는 경우가 있기에 이러한 경우라면 사용자 계정 컨트롤이 아무 소용없게 되어버리므로 이것 역시 컴퓨터를 모르는 사람 상대로라면 소용이 없는 방법이라고 할 수 있습니다.

이상으로 컴퓨터 온라인 협박 랜섬웨어 그 실체를 간단하게 알아보았습니다. 우리나라에서 대표적인 랜섬웨어 감염 홈페이지는 클리앙,디시인사이드,오늘의유머,뽕뿌광고등 이름만 대면 알만한 사이트들이 몇몇 존재하고 있었습니다. 그만큼 랜섬웨어는 일반적인 커뮤니티 사이트에서도 랜섬웨어 감염 발생확률은 있기에 사용자의 중요한 컴퓨터 관리가 요구됩니다.