랜섬웨어란?

지난주 온라인 커뮤니티 '뽐뿌'를 통해 '랜섬웨어'가 대량으로 유포되었다.

랜섬웨어는 인질의 몸값을 뜻하는 랜섬(Ransom)과 악성코드를 뜻하는 멀웨어(Malware)를 합성한 신조어다.

말 그대로 PC 속 파일을 사용할 수 없게 암호화한 후, 파일을 다시 이용하고 싶으면 해커에게 비용을 지불하라는 악성코드다.

이번에 뽐뿌를 통해 배포된 랜섬웨어는 '크립트XXX'의 변종이다.

각종 문서, 이미지, exe 파일뿐만 아니라 hwp 같이 한국에서 유통되는 파일까지 모두 암호화한다.

돈을 내놓으라는 협박 메시지까지 한국어화되어 있어 처음부터 국내 홈페이지와 사용자를 노리고 제작된 것을 알 수 있다.

랜섬웨어

뽐뿌 사용자들은 당연히 난리가 났다. 자신들의 PC속 업무 관련 파일이 모두 암호화되어 사용할 수 없게 되었기 때문이다. 뽐뿌의 한 사용자는 2년치 작업 파일이 모두 암호화되었다며, 이에 대한 피해 배상 소송을 진행할 것이라고 밝히기도 했다.

랜섬웨어의 근원은 영세한 광고 서비스

랜섬웨어 때문에 인터넷 커뮤니티에서 난리가 난 것은 이번이 처음이 아니다. 

작년 4월 다른 인터넷 커뮤니티 '클리앙'을 통해 랜섬웨어가 대량 배포되어 많은 사용자가 랜섬웨어에 감염되는 일이 벌어지기도 했다. 그렇다면 왜 인터넷 커뮤니티는 매번 랜섬웨어로 홍역을 치르는 것일까?

원인은 영세한 광고 서비스다. 인터넷 커뮤니티는 그 트래픽을 감당하기 위해 홈페이지 곳곳에 광고가 삽입되어 있다. 인터넷 광고 단가는 계속 내려가고, 서버 유지비는 증가하니 어쩔 수 없이 다양한 광고를 홈페이지에 부착할 수밖에 없다. 

물불을 가릴 처지가 아니기 때문에 구글 애드워즈처럼 믿을 수 있는 곳에서 제공하는 광고 서비스 뿐만 아니라 영세한 곳에서 제공하는 광고 서비스도 부착할 수밖에 없다.

해커는 바로 이렇게 영세한 광고 서비스를 노린다. 먼저 영세한 광고 서비스의 호스팅 서버를 해킹해 랜섬웨어를 심는다. 그 다음 구형 인터넷 익스플로러와 플래시 플레이어의 보안 취약점을 이용해 사용자의 PC에 침투하는 것이다. 

이렇게 사용자가 특정 파일이나 프로그램을 내려받지 않아도 악성코드가 보안 취약점을 통해 침투하는 방식을 '드라이브 바이 다운로드(Drive by Download)'라고 부른다. 해커들이 얼마나 영세한 광고 서비스를 노리는지 '멀버타이징(Malvertising, 온라인 광고를 통해 악성코드를 심는 해킹 방식)'이라는 신조어까지 생겨났다.

광고 서비스 제공자들의 보안에 대한 무관심이 사태를 더욱 악화시켰다. 대부분의 소규모 광고 서비스는 '오픈X'라는 오픈소스 광고 플랫폼을 이용해 개발된다. 

오픈X 자체가 보안에 취약한 것은 아니다. 지속적인 개발을 통해 보안 취약점을 해결하고 있다. 문제는 보안 취약점이 발견된 구버전 오픈X를 이용하면서 보안 패치를 하지 않는 광고 서비스 제공자들이다. 

이들이 바로 랜섬웨어를 퍼트리려는 해커들의 1순위 타겟이다. 클리앙, 뽐뿌의 랜섬웨어 사태는 이처럼 취약한 보안을 가진 소규모 광고 서비스를 무분별하게 홈페이지에 부착함으로써 일어났다는 것이 업계 관계자들의 중론이다.

랜섬웨어, 해결책은?

한 번 랜섬웨어에 감염되면 파일을 복호화(암호해제)하는 것은 쉬운 일이 아니다. 많은 해커가 비트코인을 통해 자신을에게 돈을 지불하면 복호화키를 보내주겠다고 유혹한다. 

돈을 지불해서 복호화키를 받으면 다행이지만, 못 받는 경우가 더 많다. 

게다가 돈을 지불하면 그만큼 해커가 더 기승을 부리게 된다. 추천할 만한 일이 아니다. 아쉽게도 사용자는 해당 랜섬웨어를 만든 해커가 검거돼 복호화키가 인터넷에 공개되길 기대하는 수 밖에 없다. 

결국 PC가 랜섬웨어에 감염되지 않도록 예방이 최선이다.

랜섬웨어를 피하려면 어떻게 해야 할까? 사용자들은 다음 6가지를 꼭 기억해두자.

1. 모든 파일을 백업 할 것

랜섬웨어에 대처하는 가장 좋은 방법은 중요한 내용이 담긴 파일을 모두 백업하는 것이다.

랜섬웨어는 가치있는 파일 대부분을 암호화한다. 좀 더 정확히 말하자면 사용자의 노력이 들어간 모든 생산성 관련 파일을 노린다. 

현재 시중의 랜섬웨어는 50여종의 파일을 암호화하는 것으로 알려진 상태다. 

doc, xls, ppt, txt, pdf 같은 문서 파일부터 avi, mp4, mov 같은 동영상 파일까지 종류를 가리지 않는다. jpg, png, bmp, psd, ai 같은 이미지 파일도 암호화한다. 

zip, rar 같은 압축 파일도 랜섬웨어의 마수를 피해갈 수 없다. 

올해 초 국내에 상륙한 랜섬웨어는 hwp 같이 국내에서 통용되는 파일까지 암호화하기 시작했다.

때문에 사용자는 언제나 자신의 작업 결과물과 사무용 문서를 주기적으로 백업해야 한다. 

백업해두는 공간은 무엇이든 관계 없다. 외장하드나 USB 메모리도 좋고, 클라우드 저장 서비스도 좋다. 

중요한 것은 습관이다. 1~2주에 한 번씩 문서, 동영상, 이미지 등 작업 결과물을 PC 말고 별도의 저장장치에 백업하는 습관을 들여야 한다. 

이렇게 파일을 백업해두는 습관을 들이면 랜섬웨어에 당하더라도 피해를 최소화할 수 있다. 

설령 백업해두는 습관을 들이지 않았더라도, 지금 이 기사를 보는 즉시 파일을 백업해두길 바란다.

2. 구형 인터넷 익스플로러를 쓰지 말 것

단도직입적으로 말하겠다. 현재 인터넷 익스플로러(IE) 10 이하 버전을 사용 중이라면 즉시 사용을 중지하고 IE 11, 엣지, 크롬 50, 파이어폭스 47 등 최신 웹 브라우저로 교체해야 한다.

앞에서 설명한 것처럼 랜섬웨어는 보안 취약점을 이용해 PC에 침투한다. 보안 취약점을 노리기 때문에 사용자가 exe, apk 같은 별도의 프로그램을 설치하지 않아도 침투할 수 있는 것이 특징. 때문에 사용자들은 속수무책으로 당할 수밖에 없다.

구형 IE는 지원이 중단되었거나, 곧 중단될 예정이다. 때문에 보안 취약점이 발견되더라도 MS가 보안 패치를 제공하지 않는다. 랜섬웨어가 이 보안 취약점을 통해 사용자의 PC에 제 집 드나들 듯이 침투할 수 있다. 구형 IE를 사용하는 것은 도둑에게 정문을 활짝 열어주는 것과 다를 바 없다.

3. 플래시 플레이어를 최신 버전으로 업데이트하라

랜섬웨어의 주 침투 방법 중 하나가 구형 어도비 플래시 플레이어의 보안 취약점을 활용하는 것이다. 때문에 언제나 플래시 플레이어를 최신 버전으로 유지해야 한다. 

IE나 파이어폭스 사용자라면 사용자가 직접 플래시 플레이어를 업데이트해야 하고, 크롬과 엣지 사용자라면 웹 브라우저를 업데이트하면 플래시 플레이어도 함께 최신 버전으로 업데이트 된다.

사실 플래시 플레이어는 틈만 나면 보안 취약점이 발견되는 플러그인이다. 때문에 웹 브라우저의 플래시 플레이어 기능을 꺼두거나, 아예 웹 브라우저에 플래시 플레이어를 설치하지 않는 것도 랜섬웨어에 대처하기 위한 좋은 방법이다.

4. 공짜 사이트는 악성코드의 온상

드라마, 영화, 만화, 음악 등을 공짜로 제공하는 공짜 사이트. 저작권법 위반을 논하지 않더라도, 심각한 문제가 하나 더 있다. 바로 악성코드의 온상이라는 것이다. 특히 랜섬웨어가 사용자의 PC로 침투하는데 최적의 경로로 활용되고 있다. 인터넷 커뮤니티는 가끔씩 문제가 발생하지만, 공짜 사이트는 언제나 랜섬웨어가 득실득실하다.

대부분의 공짜 사이트는 각종 광고로 도배되어 있다. 수익을 거두기 위함이다. 이 광고가 바로 보안 위협이다. 공짜 사이트는 저작권법 위반 때문에 구글 애드센스 같은 정상적인 광고를 걸어둘 수 없다. 때문에 각종 불법/성인 광고 위주로 광고를 걸어둔다. 

영세한 광고 서버를 통해 제공되는 이 광고가 제대로된 보안 시스템을 갖추고 있을리 만무하다. 여기서 온갖 랜섬웨어가 배포되고 있다.

홈페이지에 불법/성인 광고가 많으면 많을 수록 랜섬웨어에 감염될 확률도 기하급수적으로 올라간다. 따라서 중요한 파일이 저장된 PC로 공짜 사이트에 접속하는 것은 엄금해야 한다.

구형 IE와 플래시 플레이어를 사용 중이고, 공짜 사이트에 자주 접속하는 사용자라면 이미 랜섬웨어에 걸린 것이나 다름 없다. 지금 감염되지 않았더라도, 곧 감염될 것이다. 사용자들이 명심해야 할 부분이다.

5. 운영체제를 최신으로 업데이트할 것

보안 취약점은 구형 IE와 플래시 플레이어에만 있는 것이 아니다. 윈도 운영체제에도 있을 수 있다. 랜섬웨어는 이러한 틈을 노린다. 때문에 사용자는 MS가 제공하는 보안 패치를 반드시 설치해야 한다.

윈도우7이나 그 이상 버전을 사용 중이라면 MS가 보안 패치를 꼬박꼬박 제공하고 있기 때문에 큰 걱정을 하지 않아도 된다. 

하지만 지원이 종료된 윈도우XP 사용자는 이제 보안 패치를 받을 수 없다. 때문에 사용하면서 많은 주의를 기울여야 한다. 가장 최선의 방법은 윈도우XP를 보안 패치를 제공하는 윈도우7 이상의 버전으로 업그레이드하는 것이다.

6. 수상한 이메일을 열지말고, 수상한 파일을 받지말고, 바이러스 백신을 설치하라

악성코드에 대처하는 가장 좋은 방법은 수상한 곳에서 보낸 이메일을 열지 말고, 수상한 파일은 PC에 내려받지 않는 것이다. 거기에 믿을만한 바이러스 백신까지 설치하면 금상첨화다. 

어떤 파일이든 PC에 설치하거나 옮기기 앞서 바이러스 백신으로 검사하는 것은 필수다.

이러한 보안상식은 랜섬웨어에도 유효하다. 랜섬웨어의 경우 해외에서 먼저 유행하고 국내에 상륙하는 경우가 많기 때문에 '카스퍼스키' 같은 해외의 유명 바이러스 백신의 대응이 좀 더 빠른 편이다. 기억해두자.

사용자들만 랜섬웨어에 대비해야 하는 것이 아니다. 홈페이지 관리자도 랜섬웨어에 대비해야 한다. 2가지만 명심해도 랜섬웨어 피해 대부분을 방지할 수 있다.

1. 믿을 수 없는 광고 서비스를 이용하지 말 것

홈페이지 서비스 유지를 위해 돈이 필요한 것은 알겠지만, 그렇다고 믿을 수 없는 광고까지 모두 붙이는 것은 곤란하다. 믿을 수 있는 규모와 보안 인력을 갖춘 곳에서 제공하는 광고 서비스만 이용하는 것이 랜섬웨어 사태를 막을 수 있는 최선의 방법이다.

2. 모니터링 시스템을 구축할 것

믿을 수 있는 광고 서비스를 이용한다고 안심하지 말고, 자체 모니터링 인력을 구성해 홈페이지와 광고 서비스를 지속적으로 감시해야 한다. 

믿을 수 있는 광고 서비스라도 가끔씩 납치 태그(강제로 특정 홈페이지나 서비스로 사용자를 유도하는 광고)가 포함된 광고를 제공하는 경우가 있다. 이렇게 문제가 발견된 경우 모니터링 인력이 즉시 해당 광고를 내리고 후속조치를 취할 수 있게 시스템을 구축해야 한다.

랜섬웨어 사태가 인터넷 커뮤니티에선 자주 발생하고 포털이나 언론사 홈페이지에선 잘 발생하지 않는 이유가 여기에 있다. 제대로된 포털이나 언론사는 홈페이지 모니터링 인력을 보유하고 있기 때문이다. 

광고비를 위해 광고 서비스에서 랜섬웨어나 납치 태그 등의 문제가 발생했음에도 해당 광고를 차단하지 않는 일은 없어야 하겠다. 서비스 제공자로서 매우 무책임한 처사다.

글 / IT동아 강일용(zero@itdonga.com)

사용자 중심의 IT 저널 - IT동아(it.donga.com)