랜섬웨어 (Ransomware) / 출처: 한국인터넷진흥원(KISA)

랜섬웨어(Ransomware)란 몸값(ransom)과 소프트웨어(software)의 합성어로 운영체제가 설치되어 있는 자산에 존재하는 파일을 암호화 함으로써 사용할 수 없게 만드는 악성코드를 말합니다. 랜섬웨어는 주로 이메일 첨부파일이나 웹페이지 접속을 통해 들어오기도 하고, 확인되지 않은 프로그램이나 파일을 내려받기 하는 과정에서 들어오기도 합니다.

랜섬웨어 감염의 주요 경로

랜섬웨어의 종류에는 국내를 대상하는 Clop Ransomware를 포함하여 RaaS(Ransomeware as a Service)형태로 제공되는 형태 등 다양한 종류의 랜섬웨어가 있습니다. 국내 사례를 바탕으로 몇 가지만 알아보겠습니다.

Clop Ransomware는 2019년부터 국내를 대상으로 유포되기 시작한 랜섬웨어로, 주로 AD(Active Directory)Server를 사전 장악 후 랜섬웨어를 유포합니다. 2020년 12월 이랜드 그룹이 Clop 랜섬웨어 감염되어 피해를 입었으며, Clop 랜섬웨어는 정상파일로 위장하기 위해 디지털서명 정보를 가지고 있는 특징이 있습니다.

Sodinokibi Ransomware는 2019년 Gandcrab 제작자들이 서비스를 종료함과 동시에 등장한 랜섬웨어로 다양한 공격을 통해 유포되기도 하지만, 대표적인 공격벡터로는 다양한 대상을 사칭(경찰청, 은행, 헌법재판소, 입사지원서 등)한 내용의 피싱 메일이 있습니다.

Sodinokibi 랜섬웨어 악성코드는 감염 직후 "Your files are encrypted!"라는 메세지를 포함한 화면으로 바탕화면을 수정하는 특징이 있습니다.

한국 대상으로 배포된 메일 중에는 한국 증권사 농협을 사칭한 사례로 본문의 마지막에 `계좌 내용 확인`버튼을 포함하여 버튼 클릭 시 유포지 서버에 접속해 추가 악성코드를 다운로드 받아오는 구조로 동작합니다.

랜섬웨어의 공격은 기업이 보유하고 있는 개인정보 등 중요 정보에 암호화를 통해 이용권을 박탈하고 탈취한 정보의 유출을 빌미로 금전적 거래를 요구하고 있어 그 피해의 영향도가 기업 뿐만 아니라 사회 전반에 미칠 수 있기 때문에, 랜섬웨어 공격에 노출되지 않도록 사전 대응 체계를 마련 하고 예방하는 것이 중요합니다.

: 악성코드로부터 PC를 안전하게 지키기 위해서 백신 설치는 기본이며, 주기적인 백신 엔진 업데이트(자동 업데이트 권장)는 필수입니다. 또한, 가끔은 백신이 올바르게 실시간 검사 및 주기적 검사를 하고 있는지, 엔진 업데이트는 주기적으로 되고 있는지 점검하는 것도 필요합니다.

: 중요자료(hwp, 사진, 오피스문서 등)은 주기적으로 백업하고 외부저장장치(외장하드, usb 등)을 이용해 외부에 별도 저장하여 이중백업을 권장합니다. 1개의 PC가 랜섬웨어 감염 시, `공유폴더`를 통해 다른 PC로 확산될 수 있어 PC 및 네크워크에서의 `공유폴더` 사용에 주의가 필요합니다.