랜섬웨어에 감염 되었다면,

이번 편에서는 랜섬웨어에 감염된 경우 피해자 입장에서 어떻게 대응 하는게 가장 현명한 것인지 알아보겠습니다.

 

피해자는 우선 피해 자료를 산정하는 것이 필요합니다. 암호화된 파일 중 백업장치, 동기화된 다른 기기, 이메일, 제3자(협업대상) 등에서 대체할 수 있는 파일을 확인할 수 있는 것이 있는지 검토합니다. 중요 파일을 이 과정에서 살릴 수 있다면, 가장 좋습니다.

다음으로 해볼 수 있는 것은 공개된 랜섬웨어 복구 정보를 이용하는 것 입니다. 랜섬웨어의 복호키를 재사용하는 경우나 복호키 관리에 허점이 있어, 보안 전문업체에서 복호키를 공개한 경우 등의 일부 랜섬웨어는 복호화 방안이 공개되어 있습니다. 대표적인 사이트가 No More Ransomware(NMR, www.nomoreransom.org)입니다. 이 사이트는 2016. 7. 세계 각국 사법기관과 민간 보안기업에서 공동 파트너로 참여하여 랜섬웨어 피해 확산 방지를 위한 프로젝트 차원에서 만들어졌습니다. 전 세계적으로 가장 많은 양의 복구 방안을 제공하고 있습니다.

 

그 외 보안기업도 아래와 같이 랜섬웨어 전용 페이지를 생성하여 대응하고 있습니다.

- 이스트소프트 : http://www.estsecurity.com/ransomware#decryption

- 안랩 : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

- 한국랜섬웨어침해대응센터 : https://www.rancert.com/bbs/bbs.php?bbs_id=rest

- 카스퍼스키 : http://support.kaspersky.com/viruses/utility

- 트렌드마이크로 : http://www.trendmicro.co.kr/kr/tools/index.html

 

위 방법으로 충분치 않다면, 조금 고통스러운 결정을 내려야 합니다. 앞서 살펴본 바대로 몸값을 지불 하더라도 약 20%의 피해자는 파일을 정상적으로 복구하지 못합니다. 하지만 피해자 입장에서 그럼에도 불구하고 몸값을 지불할지 선택해야 합니다.

여기서 몸값을 지불하기로 선택했다면, 다시 직접 복구를 할지 대행업체의 도움을 받을 것인지 선택해야 합니다. 양심 있는 랜섬웨어 전문 대행업체의 경우 자신들이 이미 확보한 복호키로 암호가 해제가 될 경우 저렴하게 복구를 해주기도 하지만, 일부 대행업체는 피해자들의 간절한 심정을 빌미로 추가 피해를 입히기도 합니다. 본 글에서는 몸값을 지불하는 방법에 대해서는 기술하지 않습니다.

그 이후에 할 수 있는 일

우선 복구가 된 파일이 있다면, 다른 저장장치에 백업을 진행하고, 감염되었던 시스템은 공장초기화 등을 통해 새로이 해야 합니다. 감염된 시스템에서의 사용 여부와 상관없이 사용하던 모든 서비스의 계정정보도 모두 갱신합니다. 암호화 되었던 자료는 유출 가능성도 있는 자료이기 때문에, 모두 외부에 노출되었다는 가정 하에 후속 조치를 대응해야 합니다. 그 이후의 사항은 이전 편에서 말씀 드린 ‘사이버 위생 수칙’에 따릅니다. 또한, 피해상황을 수사기관에 신고하여 추가 피해자를 방지하고, 공격자를 추적하도록 합니다.

수사기관의 대응현황

랜섬웨어 피해가 급증함에 따라, 우리과를 비롯한 다양한 수사기관이 대응 방안을 고심하고 있습니다. 앞서 살펴본 바와 같이 유로폴, 네덜란드 경찰청 등에서 노모어랜섬(NMR) 프로젝트를 전 세계적으로 열어두고 공개 대응하고 있으며, 최근 벌어진 워너크라이 사태의 수사를 위해 인터폴에서 전 세계 수사기관들의 공조 회의를 추진하여 사후 대책을 마련하고 있습니다.

첫 회에서 살펴본 바와 같이 랜섬웨어는 익명인터넷(TOR)과 가상화폐가 결합되지 않는다면, 위협적인 사이버 공격이 아닙니다. 우리 과는 일반 사이버공격의 대응 능력을 강화하는 한편, 블록체인 기반의 가상화폐 악용에 대응하기 위해 블록체인 기반 수사 기법을 연구하여 대응하고 있습니다. 최근에는 범죄에 이용된 가상화폐 추적을 위해 필요한 정책 연구과제 또한 수행하고 있습니다.

다른 사이버공격에 비해 랜섬웨어는 공격 성공과 수익이 직접적으로 연결된 공격입니다. 일부 사이버공격에서 테러형으로 맞춰 사용되기도 하지만, 대부분의 랜섬웨어는 금전을 노린 공격일 수밖에 없습니다. 우리과에서는 블록체인 분석을 통해 다양한 형태의 가상화폐 추적 회피 대응 기술을 연구하여 수사를 지원하고 있으며, 국내에서 제작하거나 유통시키는 랜섬웨어 관련 채널 역시 적극 수사 지원하고 있습니다.

 

본 특집에서 3편에 걸쳐 살펴본 바와 같이 랜섬웨어의 위험은 매우 심각하고, 이미 우리 실생활에 깊숙이 영향을 끼치고 있습니다. 하지만, 이와 같은 위험의 이면에는 사이버 보안의 중요성을 간과하고, 사이버 위생 생활을 게을리 했던 작은 습관이 있었습니다. 최근에 대유행하고 있는 랜섬웨어 사태를 교훈삼아 사용자 스스로 자신의 자산을 보호하기 위해 사이버 위생 습관의 중요성을 느끼는 계기로 삼으면 좋겠습니다.

Posted by 대검찰청 사이버수사과


티스토리 툴바