악성코드들이 대부분 그렇듯 랜섬웨어도 계속 진화한다.
창과 방패의 싸움과 너무도 흡사하다. 하지만 기본 컨셉은 바뀌지 않는다. 감염된 PC의 파일들을 암호화하고 복구(복호화)를 하려면 돈을 내놔라…하는 기본 컨셉은 그대로다. 그렇다면 돈을 주고 복구툴을 얻지 않는다면 복구가 불가능할까?
결론부터 말하자면 랜섬웨어에 감염되어 파일들이 몽땅~ 암호화 되었을 경우 “일부 랜섬웨어에 의한 피해만 복구가 가능”하다.
랜섬웨어는 피해자의 PC에 침투하여 활동을 시작하면 하나씩~하나씩 파일들을 암호화하여 파일명 뒤에 특정 식별자를 붙여 이름을 변경하고 원본을 삭제한다.
이렇게 암호화된 파일들을 목격하는 순간..소위 말하는 멘붕상태가 되기 쉽다. 많은 사람들이 “설마..내가…”라는 생각과 함께 방심하고 있다가 뒤통수를 맞곤 한다.
만약 랜섬웨어에 감염되어 위 사진처럼 파일들이 암호화 되었다고 가정하자. 컴퓨터 상에서 파일을 암호화 할 때는 암호키(encryption key)가 사용된다. 그리고 이 암호키는 암호화 할 때와 암호화 된 파일을 복호화 할 때 공통적으로 사용된다. 이러한 암호화 방식을 “대칭키 암호화”라고 하며 랜섬웨어가 이 방식을 사용한다. 반대로 암호화 할 때와 복호화 할 때 서로 다른 키를 사용하는 “비 대칭키 암호화” 시스템도 존재한다. (금융기관에서 사용하는 공인인증시스템이 비-대칭키 암호화 방식을 사용자 인증 과정에서 사용한다.) 하지만 아직은 비대칭키 암호시스템을 사용하는 랜섬웨어는 없다. (언제 등장할지는 아무도 모른다.)
따라서 랜섬웨어에 감염되어 파일이 암호화되었을 때 암호화할 때 사용한 암호키를 알아낼 수 있다면 해커에게 복구툴을 받지 않아도 복구도 가능하다는 점에 착안해 백신업체에서는 랜섬웨어에 감염된 PC를 정밀 분석하였고 일부 랜섬웨어가 암호화에 사용된 암호키를 삭제하지 않고 해당 PC에 숨겨두었다는 것을 발견했다. 암호키를 피해자의 PC에 숨겨둔 이유는 유추가능하다.
해커들에게도 신용은 중요하다. 왜냐하면 돈을 벌기 위해서다.
예를 들어 A랜섬웨어에 감염된 사람이 파일을 복구할 수 있는 복구툴을 받기 위해 해커에게 돈을 송금했는데 복구툴을 보내주지 않거나 복구툴은 받았지만 복구가 되지 않는다면 A랜섬웨어에 감염된 다른 사람들이 과연 해커에게 돈을 송금할까? 피해자들도 바보가 아닌 이상 복구에 대한 확신이 있어야 돈을 송금할 것이다. 따라서 신용은 해커들에게도 중요한 문제다. 해커들이 원하는 돈을 보내주면 확실하게 복구가 가능하다는 확신을 피해자들에게 주어야 한다.
그리고 이렇게 신용을 지키기 위해서 해커들의 입장에서는 또 다른 어려운 문제가 있다. 동일한 랜섬웨어에 감염된 수 많은 PC의 파일들을 암호화 할 때 모두 같은 암호키를 사용한다면 한명만 돈을 내면 모든 사람들이 같은 복구툴로 복구가 가능하다는 문제다. 해커의 입장에서는 심각한 문제다. 감염되는 PC마다 파일을 암호화하는 암호키를 모두 다르게 해야만 한다. 게다가 어는 PC가 감염될지 해커들도 예상하기 어렵다.
즉 불특정 다수인 1000대의 PC를 감염시켰다면 1000대의 PC에서 파일을 암호화 할 때 사용하는 암호키를 모두 해커가 알고 있어야 한다는 것이다. 알고만 있다고 되는 것이 아니라 어느 PC에 어떤 암호키가 사용되었는지를 정확하게 알아야… 돈을 줄테니 복구툴을 달라는 피해자의 요구에 신뢰할 수 있는 복구키를 보내줄 수 있는 것이다. 그렇지 못하다면 더 이상 복구툴을 위해 돈을 쓰는 피해자는 기대하기 어렵게 된다. 그래서 해커들은 파일을 암호화할 때 사용하는 암호키를 해당 PC에서 추출되는 데이터를 이용해 랜덤하게 생성하고 파일을 암호화 한 뒤 특정 경로에 숨겨두게 된다. 복구툴은 그 특정 경로에 숨겨진 암호키를 찾아 파일들을 복구하게 되는 것이다.
백신 업체에서는 이렇게 암호키가 PC에 보관되는 랜섬웨어에 대해서는 무료 복구툴을 제공한다. 대표적인 업체가 바로 안랩(Ahnlab)이다. V3 백신으로 유명한 안랩은 악성코드에 대한 정보를 제공하기 위해 “안랩 랜섬웨어 보안센터” 라는 웹사이트를 운영하고 있으며 이 보안센터에서 랜섬웨어에 대한 정보와 일부 복구툴을 제공하고 있다.
http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do
그리고 아래쪽에 보면 복구가 가능한 랜섬웨어들에 대한 복구툴을 무료로 제공하고 있다. 단, 복구가 가능한 랜섬웨어의 목록을 간단하게 보여주고 있는데… 정말 일부다. 절대 랜섬웨어 모두가 복구 가능한 것이 아니다.
http://www.ahnlab.com/kr/site/download/product/productVaccineList.do
많은 사람들이 “랜섬웨어에 의해 암호화 된 파일도 복구 가능하다”고 잘못 알고 있는데 정말 일부 랜섬웨어만 복구가 가능하다. 당연히 파일을 암호화 할 때 사용된 암호키를 찾아낼 수 있기 때문에 복구가 가능한 것이지 특정 기술에 의해 암호화 된 파일을 복구할 수 있는 것이 아니다.
기본적으로 랜섬웨어에 의해 암호화 된 파일은 복구가 불가능하다. 다만 일부 랜섬웨어에서 암호화 할 때 사용한 키를 유추가능하거나 숨겨둔 암호키를 찾았기 때문에 복구가 가능한 것이며 아직도 대부분의 랜섬웨어에 의해 암호화 된 파일은 복구가 불가능하다.