[랜섬웨어 바이러스] 방지하는 방법과 감염경로는?

최근 1600만 사용자인 알약 프로그램이 랜섬웨어 차단알림을 믿고 윈도우 운영체제가 에러나는 사태로 인해 심각성을 느꼈습니다. 랜섬웨어에 대해서 잘 모르는 분들을 위해 간단히 요약을 하면 몸값을 뜻하는 Ransom과 악성 코드를 뜻하는 Malware의 합성어이며, 랜섬웨어 바이러스는 10년이상이 되었고 동의 없이 시스템에 설치되어 무단으로 사용자의 파일을 모두 암호화하여 금전을 요구하는프로그램을 말합니다.

알약사태로 인해 랜섬웨어 바이러스가 실제 감염이 되었는지 잘모르시는 분들을 위해 정리해보겠습니다. 

랜섬웨어 바이러스는 다양하게 존재하는데 랜섬웨어 바이러스가 어떤것이며 방지하는 방법과 감염경로의 원인에 대해서 알아보겠습니다. 

목차

• 1. 랜섬웨어 바이러스란?
• 2. 랜섬웨어 감염경로
• 3. 랜섬웨어 방지하는 방법

1. 랜섬웨어 바이러스란?

랜섬웨어로 막대한 피해를 보는 사례는 최근 몇년 사이 계속 급증하고 있습니다. 한국인터넷진흥원(KISA)에 따르면 지난해 2020년 국내 랜섬웨어 피해 신고 건수는 127건이였고 2021년은 223건으로 76% 급증했으며, 2022년 248건으로 증가하였습니다.

랜섬웨어 신고 분석 결과, 피해 업종은 제조업(조선업, 전자제품, 등/33%), 정보서비스업(SW개발, 웹호스팅 등/18%), 도매 및 소매업(조명 장치 판매 등/18%) 기타(31%) 등 업종에 구분이 없는 것으로 파악됐고, 상대적으로 보안 투자 여력이 부족한 중소기업(92%, 205건/223건)과 서울 외 지역(64%, 142건/223건)에서도 다수 발생하였습니다.

랜섬웨어 증상

• 랜섬웨어 바이러스는 네트워크를 통해 중요한 파일을 자동으로 사용자의 동의없이 파일을 암호화가 됩니다. 네트워크 파일 전부 감염이 되면 어떤파일이든 실행을 할수가 없습니다.

• Hwp, pdf, png, jpg 등 확장명뒤에 _PNR 입력되면서 실행파일을 찾을 수 없다고 나옵니다. 실행프로그램에 연결프로그램들이 다 해제되면서 확장명을 바꾸려고 해도 바꿀 수 없습니다. 파일자체가 암호화가 되버린겁니다.
• PC속도도 느려지고 방화벽이 해제되면서 심지어 실행하려고 하면 결재를 유도하는 팝업창이 나타나며 컴퓨터 사용을 제한합니다.

랜섬웨어 피해 사례

• 국세청을 사칭하여 연말정산 변경사항 안내로 인한 내용으로 랜섬웨어 유포
• 임직원을 사칭하여 사내 코로나 접종 대상자 알림 내용으로 랜섬웨어 유포
• 입사지원을 사칭한 입사지원서(경력사항도 같이 기재) 내용으로 랜섬웨어 유포
• 저작권 위반 안내 작가 창착물 이용에 대한 안내로 인한 악성코드 첨부메일 랜섬웨어 유포
• 사업관련 기업 사칭하여 설계서 및 견적서 요청에 관한 건 내용으로 런섬웨어 유포
• 재택근무 업무 사칭하여 잔금 처리해주세요 라는 내용으로 랜섬웨어 유포

2. 랜섬웨어 감염경로

1. 이메일

• 이메일을 통한 감염방법은 금융기관이나 지인 등을 사칭하여 이메을을 보낸후, 이력서, 급여명세서, 요금청구서 등 첨부파일을 다운받도록 첨부된 이메일을 받는 경우입니다. 
• 단순히 문서 파일처럼 보여도 실행하는 순간 랜섬웨어가 다운되어 설치되는데, 메일에 첨부된 내용 중 이미지나 HTML 파일처럼 미리보기나 바로보기가 가능한 경우 읽기 자체가 다운로드되므로 이미 랜섬웨어는 호스트 PC  상에 실행이 된상태가 됩니다.
• 이메일을 통해 랜섬웨어가 들어 있는 파일, 다운로드 할 수 있는 URL 링크가 포함되어 있어서 확인되지 않는 이메일이나 파일제목을 의심해봐야 합니다.

2. 보안 취약점

• 공격자는 소프트웨어의 보안취약점을 공격하기 때문에 Windows 업데이트를 진행하여 프로그램이 보안업데이트가 적용되도록 항상 최신의 상태를 유지하도록 해야 하며, 의심스로운 링크, 첨부파일 다운로드는 하지 않도록 감염의 위험을 최소화 하는게 취약점을 개선할 수 있습니다.
• 해외에 보안이 취약한 웹사이트, 커뮤니티 등 목적이 뚜렷하지 않은 사이트 방문에도 감염이 됩니다. 방문만 하여도 자동으로 파일이 자동으로 다운로드가 되는 경우도 있으니 조심해야 합니다.

3. 파일공유사이트

• 랜섬웨어는 다른 악성코드와 마찬가지로 다양한 방법으로 유포되기 때문에 사용자 pc를 감염시키는게 목적입니다. 특히 영화, 예능, 스포츠영상, 드라마 등 일반 파일로 위장하여 다양한 장르를 무료로 받을 수 있는 토렌트 사이트도 랜섬웨어를 유포하는 사례가 있습니다.
• 토렌트 이용자가 기하급수적으로 늘어나면서 토렌트파일을 의심하지 않는 경우가 대부분입니다. 토렌트 사이트는 자체적으로 불법이지만 대부분 VOD 결제 등을 꺼려하는 이용자들이 무료로 이용한다고 접근하다고 오히려 감염하는 사례들이 많습니다.

4. 네트워크전파

• 회사내에 네트워크 구축이 되어있고 파일서버에 공유폴더로 공유되어 있다면 PC 한곳에서 랜섬웨어가 발생되면 공유폴더 감염으로 인해 다른 PC들 또한 감염이 되는 경우도 있습니다. 내부 네트워크를 사용하고 있고 자신의 PC가 상당히 느린상태라면 감염되기 쉬운 PC라고 생각하시면 됩니다.
• 공유기나 네트워크 스위치로 전산망을 구성한 경우, 네트워크 전산망 공유기‧스위치‧시스템 등에 설정한 사용자 계정에 동일한 비밀번호를 사용하면 이를 악용하여 원격 접속 및 랜섬웨어 감염 발생하는 경로가 원인입니다.

3. 랜섬웨어 방지하는 방법

• 기업이라면 랜섬웨어 침해사고 신고 접수 및 초기 대응 지원가능한 랜섬웨어침해대응센터를 방문하여 예방을 위한 컨설팅을 받는 것도 좋습니다.

https://rancert.com/

한국랜섬웨어침해대응센터

• 업무 관련 파일 및 기밀문서, 이미지 파일 등 중요파일은 주기적으로 외부 저장장치나 웹하드로 인하여 백업을 실시해야 합니다.
• 랜섬웨어 감염의심이 든다면 실행을 하지않고 파일업로드로 랜섬웨어 종류를 아래 사이트에서 조회해서 확인가능합니다.

https://id-ransomware.malwarehunterteam.com/

ID Ransomware

• 감염이 되었을때는 랜섬웨어 복구에 대한 도구를 활용합니다. PC보안업체나 노모어랜섬(www.nomoreransom.org) 홈페이지를 통해 함호된 파일 업로드를 하여 복구프로그램이 있는지 확인을 할 수가 있습니다.
• 랜섬웨어 감염시 해커에게 돈을 지불해서는 안됩니다. 비용을 지불한다고 해서 암호를 해제에 대한 키를 받는다는 보장이 없고 랜섬웨어가 동작된 다는 사실만 밝힐 뿐입니다.

www.nomoreransom.org