데이터를 이용한 인질극, 랜섬웨어
안녕하세요, 보안클라우드입니다!
지난 주말인 6월 10일경, 웹호스팅업체인 "인터넷나야나"가 해커로부터 랜섬웨어에 감염되어 153대의 리눅스서버가 암호화된 사실이 알려졌는데요. 해당 공격으로 인해 "인터넷나야나"에 호스팅을 위탁하던 고객사들의 데이터까지 모두 암호화되어 많은 피해를 입었다고합니다. 현재 해커들은 6월 14일까지 서버당 5.4비트코인(한화 1,755만원)을 요구하였고, 153대의 서버를 다 풀기위해서는 약 26억 8,515만원이 필요하다고 합니다.
2017년 6월 11일 인터넷나야나 랜섬웨어 관련 3차 공지사항
이번 사건뿐만아니라 얼마전 일어난 WannaCry 랜섬웨어 등을 비롯해 요즘 "랜섬웨어" 사건이 많이 일어나고있는데요, 대체 이 랜섬웨어가 무엇인지 지금부터 알아보도록 하겠습니다!
#랜섬웨어란 무엇일까?
랜섬웨어란, 납치 및 유괴된 사람에 대한 몸값을 뜻하는 "Ransom"과 제품을 뜻하는 "Ware"의 합성어로, 몸값을 받아내기 위해 사용하는 프로그램이라고 할 수 있습니다. 여기서 인질은 바로 시스템에 존재하는 데이터입니다.
랜섬웨어는 실행되었을 경우 시스템에 존재하는 파일들을 암호화 시키고, 그 데이터를 복구시켜주겠다는 조건으로 가상 화폐인 비트코인을 요구합니다. 문서나 사진, 동영상들을 주된 타겟으로 하고, 데이터베이스등 기업에게있어서 중요한 정보들도 암호화 시켜버린다면, 돈을 주고서라도 복구를 시키고싶을 수도 있을텐데요, 문제는 돈을 지불해도 원상복구가 된다는 증거가 없다는 것입니다.
CERBER 랜섬웨어에 감염된 시스템의 바탕화면
랜섬웨어는 시스템 데이터를 인질로 몸값을 요구하는것이 일반적이지만, IoT 시스템을 해킹해서 돈을 주지 않으면 보일러 온도를 1도씩 올리겠다. 라고 협박하는 사건도 있었다고 하네요.
#랜섬웨어는 어떻게 감염될까?
랜섬웨어는 하나의 프로그램이라고 보면 됩니다. 기존에 존재하던 악성파일들과 비슷한 프로그램이죠.
랜섬웨어라고 감염되는 다른 특별한 방법이 있는것은 아니고, 다른 악성파일들을 유포하는 것과 같은 방법이라고 보시면 됩니다.
가장 대표적인 방법이 메일의 첨부파일, 또는 인터넷에서 정상적인 파일처럼 속이고 다운로드 하는 방법등이 있답니다. 최근에 이슈가되었던 WannaCry 랜섬웨어의 경우 인터넷에 연결만 해도 감염될 수 있다고 알려졌는데요, 그 방법은 일반적인 악성파일 유포방법인 웹을 통한 방법이 아니라 윈도우에서 사용하고 있는 SMB이라는 프로토콜을 이용해서 유포했기 때문에 가능했답니다.
#위험한 랜섬웨어, 어떻게 대처할 수 있을까?
일단 랜섬웨어는 유포자가 데이터를 복호화하는데 사용하는 "키"를 공개하지 않는이상 복구 방법을 찾기가 어렵기때문에 안전하게 예방하는 것이 가장 중요합니다.
한국인터넷진흥원(KISA)에서 권고하고 있는 랜섬웨어 예방수칙에 따르면
1. 모든 소프트웨어는 최신 버전으로 업데이트하여 사용합니다.
2. 백신 소프트웨어를 설치하고, 최신 버전으로 업데이트 합니다.
3. 출처가 불명확한 이메일과 URL 링크는 실행하지 않습니다.
4. 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의합니다.
5. 중요 자료는 정기적으로 백업합니다.
총 5개의 수칙이있는데요, 꼭 실천하셔서 모두 랜섬웨어에 감염되는 일이 없었으면 좋겠습니다!
그래도, 감염이 되었을땐 어떻게 하냐구요?
이 또한 키사에서 공지를 하고 있는데요.
https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71162 에 접속하면 복구 및 대응방법이 설명되어 있습니다.
현재 다양한 복구 도구들이 개발되고 있어 모든 경우는 아니더라도 복구의 가능성이 있답니다.
만약 랜섬웨어에 감염되었다면 감염된 랜섬웨어의 종류와 버전을 파악하고, 위의 링크에서 복호화 도구가 있는지 확인하시길 바래요!
그래도 중요한 파일을은 항상 백업하는것 잊지말구요!
그럼 안전한 인터넷 생활을 통해 랜섬웨어로부터 자유로워지길 바라면서, 다음 주제를 가지고 돌아올때까지 모두 안녕히계세요^^