평소 철저한 백업·망분리가 '정답'
복구 툴 나오는 경우도 있지만 큰 기대는 어려워

▲ [KISA 홈페이지 공개 그림]
▲ [KISA 홈페이지 공개 그림]
▲ [카스퍼스키 랩스 홈페이지 공개 그림]
▲ [카스퍼스키 랩스 홈페이지 공개 그림]
지난달 중순 워너크라이 랜섬웨어가 전세계를 강타한 데 이어 최근 웹호스팅업체 인터넷나야나가 에레버스 랜섬웨어에 감염되면서 랜섬웨어 피해를 막을 대책에 관심이 쏠린다.

랜섬웨어는 악성 소프트웨어의 일종으로, 컴퓨터 시스템을 감염시켜 접근을 제한하고 '몸값'을 요구한다. 감염된 시스템이나 파일을 인질로 잡아 몸값(ransom)을 요구한다는 뜻에서 이런 이름이 붙었다. 가장 흔히 쓰이는 수법은 파일을 암호화해 버린 후 이를 풀기 위한 복호화 키를 제공하겠다며 피해자에게 금전을 요구하는 것이다.

특히 수년 전부터는 해커들이 수사당국의 추적을 따돌리기 위해 은행 계좌 송금 대신 가상화폐 '비트코인'을 널리 쓰면서 랜섬웨어가 더욱 기승을 부리고 있다.

컴퓨터 보안 업체들과 주요 정보기술(IT) 업체들은 랜섬웨어 공격을 막기 위한 요령을 사용자들에게 알리고 있으나 현실적으로 이를 100% 막을 방법은 없다.

컴퓨터와 네트워크를 관리하면서 백업, 최신 업데이트 설치, 바이러스 점검 등 보안 수칙을 잘 지키는 것이 이론적으로나 현실적으로나 가장 좋은 예방법이다.

◇ 개인PC 랜섬웨어 예방 대책

개인 사용자에게 실제로 문제가 되는 랜섬웨어는 PC를 감염시키는 부류다. 스마트폰·태블릿·스마트TV 등을 감염시키는 랜섬웨어도 있지만, 지금까지는 피해 사례가 드물다.

한국인터넷진흥원(KISA) 침해대응센터와 마이크로소프트(MS)에 따르면 랜섬웨어 피해를 방지하기 위해서는 일단 악성 코드의 유입과 감염을 차단하는 것이 중요하다.

악성 코드는 사용자가 스팸 메일 메시지를 열거나 수상한 웹 사이트의 링크를 클릭할 때 유입되는 사례가 많으므로, 이런 일은 되도록 하지 않는 것이 좋다.

감염 차단을 위해 PC의 모든 소프트웨어를 최신 상태로 유지하고, 특히 윈도 등 운영체제(OS)의 자동 업데이트 기능을 활성화해 최신 보안 업데이트가 나오는대로 설치해야 한다.

또 가급적 언제나 방화벽을 활성화 상태로 유지하고 바이러스·악성코드 방지 프로그램을 사용하는 것이 바람직하다.

이런 수칙들은 컴퓨터 사용자들에게 기본 중 기본이지만 이를 지키지 않아 악성코드에 감염되는 사례가 매우 많다. 올해 5월 워너크라이 랜섬웨어도 최신 윈도 보안 패치를 하지 않은 PC에만 감염됐다.

◇ 기업·호스팅사 랜섬웨어 예방 대책

개인 PC가 아닌 기업이나 웹호스팅사의 서버에 대해서는 공격을 예방하고 피해를 최소화하는 방안이 필요하다는 게 KISA의 설명이다.

호스팅 및 클라우드 서버 내 자료가 랜섬웨어의 주요 공격 대상이며, 일단 감염되면 자료의 복구가 불가능할 공산이 크다. 따라서 평소에 백업 체계를 구축해 운영하고 시스템과 네트워크의 보안을 강화해야 한다.

KISA는 기업들에게 자료 백업 관리를 위한 정책을 수립하고 이를 기반으로 망 구성, 백업 절차, 백업 매체 등 백업 체계를 구축해 운영토록 조언하고 있다.

또 네트워크가 분리된 외부 저장 장치를 이용해 주요 자료를 백업하고 별도로 보관토록 권고하고 있다. 백업 장치까지 감염되는 것을 방지하기 위해서다.

메인 장비와 백업 장비의 네트워크 연결이 필요할 경우, 백업 장비에 대한 접근 통제 등 보안성 강화 조치가 필요하다는 것이 KISA의 설명이다.

◇ 랜섬웨어 복구 도구엔 큰 기대 말아야

피해자가 몸값을 지불하지 않고도 피해 복구를 시도해 볼 수 있는 랜섬웨어 복구용 도구가 공개되는 경우도 종종 있다.

다국적 민·관 합동 랜섬웨어 피해 예방 프로젝트로 작년에 결성된 NMR(No More Ransom)과, 보안업체 이스트시큐리티, 안랩, 카스퍼스키, 트렌드마이크로 등이 이런 도구를 제공하고 있다. 이는 랜섬웨어침해대응센터(www.rancert.com)에서도 찾아 볼 수 있다.

다만 이런 도구들은 해커가 설정한 키가 바뀌지 않는다든가 암호화 후 파일 크기가 그대로 유지된다든가 하는 특수한 조건이 만족돼야만 효과가 있으므로 큰 기대는 하지 않는 것이 좋다.

이 때문에 이런 도구를 제공하는 기관들도 "중요한 파일은 반드시 복사본으로 시도하시기 바랍니다"라는 안내를 하고 있다. 자칫 중요한 파일 원본이 회복 불가능한 손상을 입을 우려가 있기 때문이다.

또 해커가 어떤 키를 썼는지 등에 대한 정보를 수집해야 하므로, 복구 도구가 나오더라도 피해가 잇따른지 몇 주 뒤인 경우가 대부분이다.

랜섬웨어가 사용하는 암호 기술은 정보통신기술(ICT)업계에서 표준으로 쓰이는 것과 그 근본 원리가 완전히 똑같다. 이 때문에 원론적 취약성을 연구해서 키를 알아내는 것은 사실상 불가능하다. 해커가 어떤 키를 썼는지 등 힌트가 없이는 랜섬웨어가 암호화해 놓은 파일을 푸는 것이 실질적으로 불가능하다는 뜻이다.

키를 알아내서 파일을 원래대로 되돌리는 '사후 피해 복구'는 장담하기 힘들기 때문에, 랜섬웨어 대책의 초점은 '사전 예방'이 될 수밖에 없다.solatido@yna.co.kr
저작권자 © 충청투데이 무단전재 및 재배포 금지