[Windows] 랜섬웨어의 대한 이해와 대응 방법

 

안녕하세요. 주식회사 서버몬 입니다.

 

오늘은 랜섬웨어(Ransomware)에 대해 자세하게 알아보는 시간을 가져보겠습니다.

 

지난 시간에 악성코드의 정의와 유형에 대해 알아보았는데요.

랜섬웨어는 최근 몇년간 가장 많은 피해를 발생시키고 있는 악성코드로

따로 비중있게 다뤄볼 필요가 있는 내용입니다.

 

만일 기존 악성코드의 정의와 유형 글을 확인하지 않으셨다면 아래 링크를 통해

먼저 확인하시면 본 글을 이해하는데 도움이 될 것 같아 권장드립니다.

https://servermon.kr/board/board.html?code=servermon_board2&page=1&type=v&board_cate=&num1=999651&num2=00000&number=331&lock=N 

서버몬

 

 

 

랜섬웨어의 발전

랜섬웨어(Ransomware)가 현재까지 발전되어 온 주요 내용은 아래와 같이 정리할 수 있습니다.

 

1. 발견 : 최초의 랜섬웨어는 1989년에 등장한 DOS 기반의 "AIDS" 랜섬웨어라고 할 수 있습니다.

              이 랜섬웨어는 1989년 WHO의 AIDS 회담에서 참석자들에게 배포된 2만개의 플로피 디스크에서 발견되었으며

              감염 후 PC 부팅 90회에 도달하면 폴더를 숨기고 파일을 암호화하여 189달러의 금전적 보상을 요구하는

              형태로 확인되었습니다. 이 당시에는 간단한 대칭 암호화를 사용하여 큰 피해는 없었습니다.

 

2. 암호화 기술 강화 : 랜섬웨어는 암호화 기술을 강화하면서 점차 더욱 강력해지고, 금전적 요구가 증가하였습니다.

                                  2005년에는 "Gpcode" 랜섬웨어가 등장, 1024bit 암호화를 사용하여 복호화가 어려워졌습니다.

                                  다만, 당시 결제 수단이 우편이나 대포통장 등 흔적이 남는 방식만 존재했기 때문에 범죄자 추적이

                                  용이한 부분으로 랜섬웨어가 크게 활성화되지 못했던 것으로 예상할 수 있습니다.

 

3. 비트코인&크립토락커 등장 : 비트코인의 등장과 함께 발생된 크립토락커라는 랜섬웨어는 2013년 미국을 중심으로

                                                  유행하기 시작했으며 2015년 국내 유명 커뮤니티 사이트인 클리앙을 통해 유포되면서

                                                  국내에서 1만여명으로 추정되는 대규모 감염이 발생된 첫 사례가 확인되었습니다.

 

4. 대응 기술의 발달 : 랜섬웨어에 감염된 사용자들이 비용을 지불하지 않고도 암호화를 해제할 수 있는 방법을

                                  찾기 위해 연구 및 개발이 진행되었습니다. 암호화 해제 도구 개발과 악성 서버 탐지 기술

                                  등이 발전하면서 일부 랜섬웨어에 대한 해독이 가능해졌습니다. 또한 각종 백신에서 랜섬웨어를

                                  대응하는 기능이 개발되었으며 랜섬웨어 전문 대응 프로그램도 다수 출시되었습니다.

 

5. 대규모 전파 : 금전적인 이득을 노린 해커들에 의해 랜섬웨어가 대규모로 전파되는 사례도 늘어났습니다.

                          특히 2017년에는 WannaCry라는 랜섬웨어가 전 세계적으로 대규모 사이버 공격을 일으키며

                          큰 파장을 일으켰습니다.

 

6. 다양한 형태로 지속 발전 : 최근 랜섬웨어는 암호화 기술의 발전으로 인해 해독이 더 어려운 유형이 등장하고 있고

                                              유포되는 방식도 더욱 다양하게 지속적으로 발전하고 있습니다.

 

 

 

랜섬웨어의 동작 방식

랜섬웨어에 감염되면 어떻게 동작하고 어떤 영향이 발생되는지를 알아보겠습니다.

 

랜섬웨어 감염 시점부터 일반적인 순서대로 동작을 정리해보았으나 랜섬웨어의 종류에 따라

순서가 다르거나 공통적인 동작과 그렇지 않은 동작들도 있으므로 참고 부탁 드립니다.

 

1. 사전 작업

  - 시스템 복원 지점 삭제 : 기본적으로 윈도우에서는 시스템 복원이라는 기능이 존재하며 초기 랜섬웨어들은

                                           이 부분을 변경하지 않아서 감염 후 시스템 복원 시점을 통한 파일 복구가 가능한

                                           사례들이 많았습니다. 이 때문에 랜섬웨어 제작자들은 자체적으로 복구를 불가능하게

                                           만들기 위해 시스템 복원 기능을 끄고 복원 시점을 삭제하는 동작을 추가하게 됩니다.

 

  - 백신 프로그램 무력화 : 랜섬웨어는 한번의 공격만 성공하면 되기 때문에 신, 변종 랜섬웨어가 지속적으로

                                          개발되는 악성코드 입니다. 이 때문에 일반적인 DB기반의 백신 기능으로는 랜섬웨어의

                                          차단이 안되는 경우가 많았으나 이 후 랜섬웨어 대응 기능이 백신들에 추가되면서

                                          효용성이 높아지자 백신 프로그램을 지우거나 무력화시켜서 암호화 및 추가 악성코드를

                                          심는 등 원하는 동작을 수월하게 하는 종류의 랜섬웨어도 개발되게 됩니다.

                                          

  - 기타 시스템 변경 : 안전모드 진입을 막아놓고 작업관리자, 제어판 등 일부 시스템 기능을 변경하는 경우도 있습니다.

 

 

 

2. 파일 암호화

  - PC리소스 사용율 증가 : 암호화 작업은 짧은 시간에 다량의 파일을 암호화 하기 때문에 PC의 리소스 사용율이

                                           급격히 올라가게됩니다. 당연하게도 PC사양이 낮을수록 암호화 속도도 느리게 나타나기

                                           때문에 PC 사용이 갑자기 느려졌을때 PC를 종료하여 일부 파일만 암호화되는 현상으로

                                           피해를 최소화한 사례들도 종종 확인되었습니다.

 

  - 파일 암호화 및 파일명 변경 : 랜섬웨어는 PC 내 파일을 인질로 몸값을 요구하는 목적의 악성코드이기 때문에

                                                   시스템 파일까지 암호화하여 OS를 못쓰게 하는 경우는 거의 없습니다.

                                                   때문에 암호화 대상은 문서, 이미지 등의 특정 확장자를 대상으로 동작하거나 시스템

                                                   폴더를 예외 적용하는 종류, C드라이브를 제외한 다른 드라이브만 암호화하는 종류 등

                                                   다양하게 확인됩니다.

                                                   암호화 완료 후에는 파일이 암호화되었다는 것을 알리기 위해 파일명을 변경합니다.

 

 

 

3. 마무리 작업

  - 랜섬노트 생성 : 파일 암호화를 끝낸 후에는 금전적인 요구를 위한 랜섬노트를 PC내에 생성시킵니다.

                              주로 txt 파일로 각 폴더마다 생성하는게 일반적이며 txt가 아닌 html이나 이미지 형태로

                              생성하기도 합니다. 배경화면으로 랜섬노트를 띄우거나 자동으로 랜섬노트가 팝업되도록

                              설정하는 경우도 다수 존재합니다.

                              랜섬노트의 내용은 대부분 영어로 되어있고 "당신의 파일이 암호화되었고 우리의

                              지시에 따라 비용을 보내면 해제 코드를 보내주겠다" 와 같은 내용이 주 내용이며 한글로 쓰여진

                              랜섬노트도 존재합니다.

 

 

  - 자가삭제 : 암호화 작업까지 마무리하였으면 더 이상 PC에 남아서 할일도 없고 백신 업체의 DB에 추가되어 좋을게

                      없으니 자가삭제를 진행하는 경우가 대부분 입니다. 이로 인해 감염 후 PC를 전문업체에서 점검하여도

                      랜섬웨어 샘플 수집이 거의 불가능하고 감염 원인, 경로 확인도 어려운 경우가 많습니다.

 

 

 

주요 감염 경로

이번에는 랜섬웨어는 어떻게 감염될 수 있는지 주요 감염 경로를 알아보겠습니다.

 

1. 이메일, 메신저

  - 이메일 : 이메일로 랜섬웨어가 유포되는 경우가 많다는 건 이미 널리 알려진 상황입니다. 초기에는 악성코드 파일을

                  첨부파일로 첨부해서 보내는 형태가 많았으나 대부분의 메일 서버에서 응용 프로그램의 첨부를 차단하게

                  된 이후에는 매크로가 포함된 문서, 스크립트 파일, 링크 등을 포함하여 랜섬웨어 배포 서버에서 받아오게끔

                  하는 경우가 대부분입니다.

 

  - 메신저 : 주로 해킹된 메신저 계정을 이용하여 지인인 척 속이고 랜섬웨어를 감염시키는 사례가 있습니다.

 

2. 취약점

  - Adobe Flash : 2015년 4월 클리앙의 광고 서버가 해킹되어 크립토락커라는 랜섬웨어가 배포되었습니다.

                           해당 공격은 구 버전 Flash의 취약점을 이용하여 공격하는 방식이었습니다. 사용자들은 클리앙

                           사이트에 접속하여 자동으로 실행되는 Flash 광고를 보았을 뿐인데, 단순히 유명 사이트에 접속하는

                           행위만으로 랜섬웨어에 감염되는 억울한(?) 피해자들이 다수 발생되며 큰 충격을 주었었습니다.

                           Flash는 다양한 보안 취약점을 가진 프로그램으로 그만큼 자주 패치를 진행하였습니다만 이후로도

                           국내외 유명 사이트들이 해킹되어 랜섬웨어가 유포되는 사례가 꾸준히 발생되었고 이런 치명적인

                           랜섬웨어 감염의 도구가 되어버린 영향으로 2021년 1월, 결국 Adobe는 Flash에 대한 지원을 완전히

                           종료 하게 됩니다.

 

                           

  - SMB : 2017년 5월에는 전세계적으로 워너크립터/워너크라이라는 랜섬웨어의 공격이 발생하였습니다.

               초기 유포는 이메일이나 해킹된 광고를 통해서도 이루어졌지만 SMB 취약점을 통해 웜 바이러스 형태로

               전파되어 이번에는 특정 사이트의 접속도 아닌, 인터넷만 연결되어 있어도 랜섬웨어가 감염되는 상황이

               벌어진 것입니다. 해당 취약점은 Microsoft에서 2017년 3월 윈도우 보안 패치를 배포하였으나 보안 패치를

                진행하지 않은 환경이나 이미 보안 패치 지원이 끝난 구버전 Windows를 사용하는 시스템에 대한 막대한

                피해를 입혔습니다. 이로인해 Microsoft에서는 지원이 끝난 Windows XP 등에 대해서도 이례적으로 해당

                취약점 패치를 추가 배포하기도 하였습니다.

 

 

3. 불법 다운로드

  - 토렌트 등 : 전통적으로 악성코드에 감염되는 경로인 불법 다운로드를 통해서도 랜섬웨어가 감염될 수 있습니다.

                       최근에는 불법 다운로드 사이트보다 P2P로 파일을 공유하는 토렌트 등을 통해서 최신 영화나 유료

                       프로그램으로 가장하여 다운로드를 받게하고 실행 시 랜섬웨어를 감염시키는 경우가 있습니다.

 

 

 

랜섬웨어 대응 방안

랜섬웨어가 늘어남에 따라 감염되는 경로도 다양해졌습니다.

그로 인해 단순히 조심하는 것만으로는 충분하지 않게 되었습니다.

 

1. 예방

  - 일반적인 주의 : 우선 이메일에 대한 각별한 주의가 필요합니다. 첨부파일이 있거나 링크가 있는 메일은 발신자와 내용

                              등을 면밀히 검토하고 접근할 필요가 있으며 메일 보안 솔루션을 도입하는 방법도 있습니다.

                              추가로 공신력이 낮은 사이트 접근이나 토렌트 불법 다운로드 등을 지양해야하며 무엇보다 사용하는

                              OS를 최신 상태로 유지, 그 외 주요 프로그램들도 최신으로 유지하는 방법이 필요합니다.

 

  - 백신 및 안티 랜섬웨어 프로그램 : 랜섬웨어 차단 기능이 포함된 백신, 안티 랜섬웨어 프로그램을 설치하여 최신으로

                                                          유지하고 이상 증상 확인 시 해당 업체를 통해 점검을 받아보는 것이 좋습니다.

 

  - 백업 : 랜섬웨어에 감염이 되더라도 랜섬웨어가 접근할 수 없는 형태의 백업 환경을 구축하고 지속적인 관리를 통해

               피해를 최소화 하는 것이 필요합니다.

 

 

2. 사후 조치

  - 시스템 점검 : 감염이 확인될 경우 우선 관련 전문 업체 등을 통해 PC내 랜섬웨어 악성코드 잔존 여부를 점검하고

                          랜섬노트와 암호화 상태, 감염 추정 경로 등으로 랜섬웨어의 종류와 피해 정도를 확인합니다.

   

  - 파일 복구 시도 : 해커가 검거된 랜섬웨어 등 일부 랜섬웨어는 복호화 툴이 공개되었으므로 가능한 복호화 툴이

                               있는지 확인합니다. 만일 복호화 툴이 없을 시 중요 데이터는 암호화된 상태로 따로 보관하여 차 후

                               복호화 툴이 공개되기를 기다리는 방법 밖에는 없습니다.

 

 

3. 주의사항

  - 몸값 지불 : 물론 해커의 요구에 따라 몸값을 지불하는 방법도 하나의 방법일 수 있지만 가급적 권장하지는 않습니다.

                       몸값을 지불해도 해커가 복호화 키를 주지 않는 경우도 많고 잘못된 복호화 키는 주는 경우도 있습니다.

                       만일 정상적인 복호화 키로 복호화에 성공해도 그 해커는 더 많은 금전적 이득을 위해 더욱 많은 사람들

                       에게 랜섬웨어를 유포할 것이며 그 화살이 본인에게 다시 돌아올 수도 있습니다.

 

  - 데이터 복구 업체 : 포탈 사이트에 검색을 해보면 랜섬웨어로 암호화된 파일을 복구해준다는 데이터 복구 업체들은

                                  쉽게 찾아볼 수 있습니다. 물론 정직한(?) 업체들은 디스크 내 파일 흔적을 이용하여 최대한의

                                  복구를 진행하고 적절한 비용을 받는 경우도 있겠지만 대부분은 몸값+@의 금액을 받고 몸값을

                                  대신 보내서 복호화 작업을 진행하거나 비용만 받고 복구에 실패했다고 하는 경우도 있기 때문에

                                  무언가 확실한 안전장치가 없는 업체로 의뢰하는 방법은 권장드리지 않습니다.

 

 

 

 

마치며

오늘은 랜섬웨어에 대해 알아보았습니다.

 

랜섬웨어는 감염되는 한순간으로 인해 개인용 PC의 경우도 소중한 파일들을 잃어버리는 결코 작다고할 수 없는 피해가 

발생되지만 업무용 PC의 경우에는 회사 경영에 타격을 입힐 만큼 막대한 피해를 발생시킬 수 있는 만큼, 랜섬웨어에 대해

미리 알고 대응할 수 있도록 하는 마음 가짐이 중요할 것 같습니다.

 

읽어주신 모든 분들께 감사드리며 항상 좀 더 유용한 주제로 손쉽게 정리된 내용을 보여드릴 수 있도록 노력하겠습니다.

 

이상 [악성코드가 사라지길 바라는 몬스터!!!] 서버몬이었습니다. 감사합니다.

 

 

 

※ 본문 내 이미지 및 썸네일 원본 출처 : 이스트시큐리티 알약 블로그 - https://blog.alyac.co.kr/

 

 

 

1u서버 / APC / DB / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell워크스테이션 / dl20 / dl20gen10 / dl360 / dl360gen10 / dl380 / dl380g10 / dl380gen10 / ECC메모리 / EDFOG랙가격 / ESTSOFT / FIRMWARE / gpu서버 / gpu타워형서버 / HA솔루션 / hpdl20 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPE / HPE Service Pack for Proliant / HPE SPP / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz420 / hpz440 / hpz4g4 / hpz640 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버800 / hp서버800w / hp서버cto / hp서버pc / HP서버메모리 / hp서버컴퓨터 / HP서버펌웨어 / HP서버하드디스크 / hp워크스테이션 / hp프로라이언트 / HYPER BACKUP / ibm서버 / Intelligent Provisioning / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ML350GEN10 / ML360 / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / OS설치 / p17079-b21 / poweredger740 / poweredger750 / precision5820 / QUADRO / QUADRO그래픽카드 / r240 / r340 / r440 / r740 / RHEL설치 / RMS랙 / server / serverpc / SOPHOS / SPP / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / Windows서버설치 / z420 / z620 / z840 / z8g4 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 리욱스 / 미니서버 / 미니서버랙 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 서버 / 서버 기술지원비(비용) / 서버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버구매 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉마운트 / 서버메모리 / 서버몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버엔지니어 / 서버용pc / 서버용그래픽카드 / 서버용메모리 / 서버용컴퓨터 / 서버용하드디스크 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버호스팅 / 소포스 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 왼도우서버설치 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 작업장컴퓨터 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 쿼드로P400 / 타워형서버 / 페도라설치 / 프로라이언트 / GPU서버 / 미니서버렉 / 서버용PC / 젠서버 / AI서버 / 제온서버 / 서버가격 / 1U서버 / HPDL20Gen10 / HP서버8SFF800W / 가상서버 / 타워형서버 / HPDL360 / HPDL380Gen10 / 컴퓨터서버 / 미디어서버 / 타워서버 / DB서버 / HP서버580 / HP서버파워 / HPDL360Gen10 / 윈도우서버컴퓨터 / XEON서버 / 881457-B21