최근 kisa 에서 운영하는 인터넷침해대응센터 에 한가지 이슈가 올라왔습니다. 다름아닌 한글버전 랜섬웨어 `크립토락커` 확산 주의보 !
랜섬웨어 란 PC 에 저장된 데이터를 암호화 한 후 복호화키를 대가로 금전을 요구하는 악성 코드인데, `크립토락커`라는 악성 코드는 몇달전까지만 해도 한글화 버전은 없었으나, 최근 한글화된 버전이 발견되게 되면서 서버관리자 로서는 시급한 대응 보안정책의 필요성이 대두되고 있습니다.
최근 발견되고 있는 랜섬웨어는 나날이 발전해가는 크래킹 기법 (주= 일반적으로 해킹과 크래킹을 같은 의미에서보는사람들이 많이있으나,해킹 자체는 피해를 주기만 하는 행위가 아니고,
프로그램에 접속하여 간섭하는 것을 말한다 볼 수 있으며, 크래킹은 특정 목표에 피해를 주는 것을 목적으로 하고 있는 해킹을 뜻합니다.) 에 의해 암호화 하는 수단이 과거보다 복잡해져서
복호화 키를 사용하지 않으면 파일을 원래대로 복원하는 것이 불가능한 경우가 많이 있습니다.
복호화 키를 얻을 수 있는 유일한 방법은 해커에게 대가를 지불하고 키를 얻는 방법밖에는 없으나. 문제는 대가를 지불해도 복원해준다는 보장이 없다는 점입니다.
(추적을 피하기 위해 이같은 랜섬웨어의 경우 해커들이 `비트코인`으로 결제를 유도를 하는경우가 대부분입니다.)
현재까지 나와있는 랜섬웨어에 대한 예방 방법은 기본 보안 수칙을 생활화하는 방법밖에는 없습니다. 랜섬웨어의 경우 IE 9 버전대 및 플래쉬 플레이어, java 의 취약점 등을 타고 악성코드가 실행이 되기 때문에
최신 보안업데이트 가 반드시 필요하며 PC의 모든 소프트웨어를 최신 상태로 유지하고 주기적인 백신 검사와 백신을 업데이트해야 합니다.
랜섬웨어도 악성코드인 만큼 전통적(?)인 공격수단인 이메일이나 안전하지 않은 웹사이트를 통해 감염되게됩니다. 따라서 안전하지 않은 웹사이트에는 접속하지 말고 스팸메일은 열지 말고 바로 삭제해야 합니다.
이와 함께 중요한 파일은 외부 저장장치에 백업해둔다면 랜섬웨어에 감염되더라도 파일이 훼손되는 것은 막을 수 있습니다.
# 랜섬웨어에 감염이 되었을 시
악성코드가 하드디스크에 저장돼 있는 원본을 암호화시키는 방식은 악성코드 변형에 따라 차이가 있긴 합니다만
이중 암호화 과정에서 원본 데이터를 덮어쓰지 않고 암호화된 파일을 별도로 생성한 후 원본을 삭제하는 방식인 경우 원본 데이터의 흔적이 하드디스크에 남아있을 수 있습니다.
이 경우 데이터 복구 프로그램을 이용해 데이터를 복구할 수 있습니다.
(↑ 사진1. 파일몬 프로그램인`process moniter` 를 통한 모니터링)
(↑ 사진2. `process moniter` 를 통해 확인되는 데이터를 프리웨어 데이터 복원 툴인 `Recuva`를 통해 복원합니다.)
복구 프로그램을 이용할 때 주의해야 할 점은 복구해야 할 데이터가 있는 하드디스크에 소프트웨어를 설치하거나 파일을 복사하는 등 디스크에 데이터가 기록되는 행위는 피해야 합니다.
파일 프로그램은 파일 삭제 후 하드디스크에 남아 있는 파일의 흔적을 재조합해주는 방식으로 지워진 데이터를 복원해주는데,
이때 새로운 데이터가 디스크에 기록되는 가정하에 이전 데이터가 저장된 섹터에 데이터를 덮어쓸 가능성이 높기 때문에 이 경우 복원되지 않을 수도 있습니다.
따라서 복원 가능성을 높이려면 되도록 하드디스크를 사용하지 않아야 하며, 복원 과정에서는 반드시 하드디스크를 제거하고 다른 시스템에 저장한 후에 복원 프로그램을 사용해야 합니다.
랜섬웨어에 감염된 이후 디스크 섹터에 다른 데이터가 얼마나 기록되었는지에 따라 복구를 시도 했을시 복구되는 데이터가 달라지기 때문에, 중요한 데이터가 있다면 곧바로 데이터 복구 업체쪽에 보내는게 낫습니다.
위에서 언급한 프로그램들은 대부분 영어버전으로 되어있기때문에, 사용하기 번거롭다면 윈도우에 내장되어 있는 ‘사용자 파일 백업 및 복원 기능’을 이용해 감염 전의 파일을 불러올 수 있습니다.
이때 주의사항 으로는 파일을 백업할 때 반드시 윈도가 설치된 로컬 디스크가 아닌, 다른 저장매체에 저장해야 백업이 가능합니다.
로컬 디스크는 백업 파일이 저장될 경로에 표시되지 않으며 로컬 디스크에서 백업할 파일이나 폴더를 사용자가 지정할 수 있습니다.
#마치며
지금까지 랜섬웨어에 대해 설명 해 드렸습니다. 소잃고 외양간 을 수리하는건 외양간 크기에 따라 손해가 달라지며, 아예 손해가 발생하지 않을수는 없습니다. 백업을 일상화 해야하며 주기적인 보안 업데이트는 반드시 필수로 가져야 할 덕목입니다.
[polldaddy rating=”7739789″]
수고혔슈…