2015년 4월… 거대 커뮤니티로 부터 랜섬웨어가 유포되어 많은 피해자가 발생했습니다. PC는 물론 공유폴더 형태로 연결된 NAS나 외장스토리지에 저장된 Word(.doc), PPT(Power Point), Excel(.xls) 등의 문서파일들이 암호화되어 버리는 피해가 발생한 것이죠. (관련 사건 보러 가기)
랜섬웨어란?
랜섬웨어는 몸값을 뜻하는 ransome과 ware가 합성된 단어로서 컴퓨터 사용자의 동의없이 불법적으로 컴퓨터에 침입하여 문서, 이미지 등의 데이터파일을 무작위로 암호화 한 뒤 해당 컴퓨터 사용자에게 암호화 된 문서나 이미지를 복구하려면 돈을 내놓으라고 요구하는 악성 프로그램을 말한다.
랜섬웨어 유포자 검거
올해(2015년) 세계적으로 악명을 떨친 랜섬웨어는 CoinVault라는 랜섬웨어와 BitCryptor입니다. 우리나라는 물론 요즘은 제 주변에서도 PC에 감염되어 파일들이 암호화되는 피해가 속출하고 있는 형편이죠. 그런데 최근 네델란드에서 이들 랜섬웨어를 만들어 유포한 해커가 검거되었다고 합니다.
이 해커를 검거하는데는 카스퍼스키와 네델란드의 국립하이테크범죄수사부서가 공동으로 활약했다고 합니다. 그리고 이 해커의 C&C서버에서 1만5천여개의 암호화키를 획득하여 피해자들의 파일을 복호화하는 서비스를 카스퍼스키에서 시행하고 있습니다. (대칭키 암호화를 사용하므로 암호화키 자체가 복호화키가 됩니다.)
랜섬웨어의 공포는 사라진 것인가?
절대 그렇지 않습니다.
앞에서 언급한 클리앙 및 우리나라에서 피해를 일으킨 크립토라커(CryptorLocker)는 이번에 검거된 해커가 만든 랜섬웨어는 아닌 것으로 추측됩니다. 게다가 초기에는 암호화알고리즘을 해독해 암호키를 알아내는데 성공해서 복구 서비스를 했지만 변종이 많아지면서 더 이상 복구 서비스를 하는 곳이 없습니다.
게다가 암호화 알고리즘은 매우 다양하고 약간의 변형만 주어도 변종을 만들 수 있기 때문에 하나하나 대응하는 것은 불가능합니다. 그렇기 때문에 랜섬웨어의 공포는 현재 진행형입니다. 제 아무리 강력한 백신을 PC에 설치해도 일단 새로운 랜섬웨어가 PC로 침투하면 대응방법이 없습니다.
결국 사용자가 위험한 웹사이트에 방문하지 않거나 불필요한 파일이나 의심스런 파일을 다운로드 받지 않는 방법밖에는 없다고 보여집니다.
그렇다면 과연 랜섬웨어에 대응하는 방법은 없을까요?
랜섬웨어에 대응하기 위한 보안 솔루션의 개발은 가능하다.
아직 랜섬웨어에 효과적으로 대응하기 위한 솔루션은 없습니다만 개발은 충분히 가능합니다. 커널 수준에서 보호해야할 파일, 즉 .doc, .ppt, .xls, .hwp와 같은 문서파일에 각각 대응되는 프로세스 즉 msword.exe, hwp.exe, excel.exe 등만 접근하도록 허용하고 그 외의 프로그램들은 읽기만 가능하도록 통제하면 가능합니다.
매우 쉬운 아이디어지만 이 아이디어를 실제로 구현하는 것은 그리 간단하지는 않습니다. 실제로 이런 보안 정책을 지원하는 제품이 서버보안SW인 RedCastle인데 아쉽게도 RedCastle은 Windows 2003 Server 이상의 Windows 서버와 Linux, Unix에서만 그 동작을 보증합니다.
간혹 Windows 7에도 설치하고 테스트를 하는 경우가 있습니다만 개인 PC용 운영체제에 대한 기술보증은 하고 있지 않아 아쉽습니다.