국제 수사기관과 IT 보안기업이 랜섬웨어 퇴치에 나섰다.
유로폴, 네덜란드 경찰, 인텔시큐리티, 카스퍼스키랩은 ‘노 모어 랜섬(No More Ransom)’ 프로젝트를 출범하고 랜섬웨어 대응을 위해 공조한다고 26일 밝혔다.
이 프로젝트는 온라인 웹사이트를 개설학, 대중에게 랜섬웨어의 위험성을 알리면서, 범죄자들에게 대가를 지불하지 않고도 피해자들의 데이터를 복구할 수 있도록 한다.
랜섬웨어는 공격 대상의 컴퓨터를 잠그거나 데이터를 암호화하고 금전을 요구하는 사기수법으로, EU 회원국의 약 2/3가 랜섬웨어 공격에 대한 수사를 진행하고 있다. 랜섬웨어는 개인을 대상으로 하고 있지만, 때로 기업, 정부 네트워크에도 피해를 입히고 있다. 피해자 수는 급속도로 증가해 2014년에서 2015년까지 13만1000명에서 2015년에서 2016년에는 71만8000명으로 늘었다.
암호화된 데이터 복구 도구 제공
노 모어 랜섬 웹사이트는 랜섬웨어 피해자에게 도움이 되는 온라인 정보를 제공한다. 이 사이트에서는 랜섬웨어의 정의와 동작 원리 그리고 예방책에 대한 정보를 찾을 수 있다. 랜섬웨어를 예방하는 데 가장 중요한 것은 경각심과 보안의식이다. 모든 랜섬웨어를 무력화할 수 있는 복호화 프로그램은 없기 때문이다. 한 번 감염되면 데이터를 영원히 되찾을 수 없을 가능성이 높다. 간단한 사이버 안전 수칙에 따라 신중하게 인터넷을 이용하면 사전에 랜섬웨어 감염을 예방할 수 있다.
이 프로젝트는 범죄자에 의해 암호화된 일부 데이터를 복구할 수 있는 도구도 제공합니다. 포털 사이트는 아직 초기 단계지만 여러 종류의 랜섬웨어 악성 코드에 대비한 4개의 복호화 도구를 갖추고 있다. 그 중에는 6월에 등장한 쉐이드(Shade) 변종과 같은 최신 악성 코드에 대한 복호화 도구도 포함됩니다.
쉐이드는 2014년 말 출몰한 랜섬웨어로 악성 웹사이트와 감염된 이메일 첨부파일을 통해 유포됩니다. 사용자의 시스템에 침투한 후 저장돼 있는 파일을 암호화한 뒤, 대가를 요구하는 메시지와 함께 그 절차를 안내하는 .txt 파일을 생성한다.
AES-256 알고리즘을 사용하는 쉐이드는 2개의 256비트 AES 키를 무작위로 생성해 하나는 파일의 내용을, 다른 하나는 파일명을 암호화한다. 암호화된 각 파일을 복구하는 데에는 파일마다 고유한 키가 필요하다.
2014년부터 카스퍼스키랩과 인텔시큐리티가 차단한 쉐이드 랜섬웨어의 공격 시도는 2만7000건 이상이며, 감염 시도가 가장 잦은 지역은 러시아, 우크라이나, 독일, 오스트리아, 카자흐스탄다. 프랑스, 체코, 이탈리아, 미국 등이다.
여러 기관과 기업이 긴밀하게 협력하며 정보를 공유한 끝에 범죄자들이 복호화 키를 저장하기 위해 이용하던 쉐이드의 C&C 서버를 압수했으며, 카스퍼스키랩과 인텔시큐리티가 복호화키를 갖고 피해자 데이터를 복구했다. 그 결과 범죄자들에게 대가를 지불하지 않고도 데이터를 회수할 수 있는 전용 복호화 프로그램을 노모어 랜섬 웹사이트에서 제공할 수 있게 됐다. 이 도구에 포함된 복호화 키는 16만개 이상이다.
랜섬웨어 피해 입으면 돈 주지 말고 신고해야
사법 기관에 랜섬웨어를 신고하면 당국에서 전체적인 윤곽을 파악하고 위험을 완화하고 막을 가능성이 높아진다. 노 모어 랜섬 웹사이트는 유로폴의 국가 신고 체제와 직접 연계해 피해자가 범죄를 신고할 수 있도록 도움을 제공한다.
만약 랜섬웨어에 감염되더라도 대가를 지불해서는 안 됩니다. 대가를 지불하는 것은 결국 사이버 범죄자를 부추기는 결과를 낳으며, 무엇보다도 대가를 건넨다고 해서 암호화된 데이터가 100% 복구된다는 보장도 없기 때문이다.
