사용자의 중요한 정보를 암호화 한 후 금전을 요구하는 랜섬웨어 피해가 심각한 상황에 이르고 있다.
랜섬웨어에 이용되는 크립토락커 악성코드는 정상메일로 위장해 사용자를 유인하거나 웹사이트 방문자를 감염시키는 드라이브 바이 다운로드 방법을 이용하기 때문에 사용자의 주의만으로 감염을 막기는 어렵다. 또한 크립토락커는 계속해서 신·변종 형태가 나타나기 때문에 시그니처 기반 방어를 제공하는 안티바이러스로는 탐지에 한계가 있다.
초기 랜섬웨어는 사용자의 PC를 잠그거나 사용자의 데이터를 암호화 한 후 금전을 요구했지만, 최근에는 기업의 중요 자료나 업무용 서버를 공격하기도 한다. 업무에 반드시 필요한 서버나 데이터를 암호화하기 때문에 기업에서는 공격자가 요구하는 돈을 보낼 수밖에 없다.
그러나 보안 전문가들은 중요 데이터를 복구하기 위해 돈을 보내는 패턴을 반복하면 랜섬웨어 공격이 더욱 심해질 것이라고 경고한다. 공격자들은 랜섬웨어가 손쉽게 돈을 벌 수 있는 방법이라는 것을 알게 됐으며, 더욱 정밀하게 사회공학적 방법을 설계해 공격을 진행하고 있어 방어가 어려워지는 악순환이 반복된다는 것이다.
카스퍼스키랩은 4일 자사 글로벌 분석팀(GReAT)을 통해 랜섬웨어 공격에 대한 의견을 발표하며 “많은 회사에서 랜섬웨어 공격을 받고 대가를 지불해야 할지를 고민하지만, 공격자에게 돈을 주는 것이 결코 문제의 해결책이 되지 않는다. 대가를 지불하면 동일한 범죄가 계속 발생할 것이며, 지불하지 않으면 이러한 방식이 돈벌이가 되지 않는다는 점을 알고 그만 두게 될 것”이라고 밝혔다.
AV업데이트·의심스러운 첨부파일 열지 말아야
카스퍼스키랩은 랜섬웨어 공격을 막기 위해서는 현재 정보보호 체계를 점검하는 것이 선행돼야 한다고 조언한다.
랜섬웨어는 범죄자들이 쉽게 돈을 벌 수 있는 수단으로 성행하고 있고 감염 위험도 높다. 따라서 개인 사용자나 기업 모두 백업 데이터를 반드시 보관하고, 안티바이러스를 업데이트하며, 의심스러운 링크나 첨부 파일을 열지 않도록 주의해야 한다. 더불어 범죄자들이 파일을 감염시키는 데 사용하는 사회 공학적 기법에 대해 알고 있어야 한다.
파일이 공격을 받아 암호화됐다면 복호화 키가 있는지 먼저 확인해야 한다. 카스퍼스키랩은 경찰과 합동수사를 통해 복호화 키를 업로드하는 서비스를 제공한다. 이 회사는 noransom.kaspersky.com를 운영하면서 랜섬웨어에 대응한다. 여기에서는 카스퍼스키랩이 개발한 전용 복호화 애플리케이션을 무료로 다운로드 할 수 있다.
네덜란드 경찰 협력해 랜섬웨어 범죄자 검거
최근 카스퍼스키랩은 네덜란드 경찰과 협력해 코인볼트(CoinVault)랜섬웨어 공격에 대한 수사를 진행한 바 있다고 밝혔다. 이들은 복호화 키를 범죄자 서버에서 확보했고 전용 복호화 도구를 개발해 피해자들이 대가를 지불하지 않고도 파일을 되찾을 수 있었다. 네덜란드 경찰은 용의자를 검거하는 성과를 올리기도 했다.
카스퍼스키랩은 랜섬웨어 대응센터에 1만4031개의 복호화 키를 추가 업로드 해 코인볼트 및 비트크립토 랜섬웨어의 피해를 입었던 모든 사용자들이 범죄자들에게 비트코인을 지불하지 않고 암호화된 데이터를 찾을 수 있었다.
코인볼트는 네덜란드, 독일, 미국, 프랑스, 영국 등 전 세계 108개 국가 1500대 시스템을 암호화했다. 카스퍼스키랩은 지난해부터 코인볼트 악성코드를 분석해 네덜란드 경찰국의 NHTCU와 네덜란드 경찰청에서 주도하는 수사에 도움을 주었다.
공동 조사 기간 동안 NHTCU와 네덜란드 검찰청은 코인볼트 C&C 서버의 데이터베이스를 확보했으며, 이 서버는 초기화 벡터(IV), 복호화 키, 개인 비트코인 지갑이 포함돼 있었고 카스퍼스키랩과 NHTCU의 지원으로 복호화 키를 제공하는 전용 대응 웹사이트인 noransom.kaspersky.com을 구축했다.
