정상 소프트웨어로 위장한 랜섬웨어 감염 사례

오늘은 랜섬웨어에 대한 내용을 간단하게 정리해보려고 합니다. 이번에 참고한 기사는 최근이 아닌 2018년 쯤 올라온건데, 처음부터 어려운 내용을 말씀드리면 읽다가 싫증이 나실꺼 같아서 쉬운 내용부터 시작해서 차차 어려운 내용을 설명드리도록 하겠습니다. 새로운 내용을 공부하거나 강의를 듣는 것처럼 기본, 중급, 심화.. 이런식으로 넘어가보도록 하죠.

​

먼저 랜섬웨어(Ransomware)라는게 뭔지 간단하게 설명드리면.. 랜섬(Ransom)은 인질의 몸값이라는 뜻이고, 웨어(ware)는 소프트웨어(Software)나 멀웨어(Malware)의 줄임말이라고 보시면 됩니다. 그래서 랜섬웨어는 "데이터를 인질로 삼아 몸값을 요구하는 일종의 악성코드" 정도로 생각하시면 무리가 없으실 것 같습니다.

 

그럼 여기서 '어떻게 데이터를 인질로 삼지?'라고 생각하실텐데, 해커들이 데이터를 암호화하는 악성코드를 하나 만듭니다. 그리고 이 악성코드를 이메일로 전송하거나 또는 어떤 사이트에 접속해서 다운받아서 실행하도록 유도하겠죠. 그래서 우리가 이 악성코드를 실행시키게 되면, 인터넷이나 뉴스에서 봤던 것처럼 바탕화면에 있는 파일들이 암호화되어 '.crypt'와 같은 확장자로 바뀌게 되는걸 보실 수 있습니다.

 

데이터가 암호화된 이후에는 바탕화면 또는 폴더마다 랜섬노트라는 것이 생성되고 이것을 열어 보면, '너의 데이터가 랜섬웨어에 감염되었으니 데이터를 복구하고 싶다면 비트코인 얼마를 보내라..'라는 문구를 보게 있죠. 이렇게 대강 랜섬웨어에 어떻게 감염이 되는지 과정을 소개드렸구요. 랜섬웨어의 디테일한 동작 과정이나 구현되는 방법 그리고 암호화된 데이터를 복구할 수는 없는지 이런 내용들은 다음에 설명드리도록 하겠습니다.

​

그런데 방금 설명드렸듯이 랜섬웨어에 감염되는 조건은 해커가 만든 악성코드를 실행해야 한다..라는 전제조건이 붙습니다. '어.. 그럼 실행만 안하면 되는거 아니야?'라고 생각하실 수 있으실 겁니다. 그런데 말이죠.. 그러면 참 좋겠지만 이게 저희가 '아 이거 랜섬웨어네'라고 쉽게 구별할 수 없다는게 문제입니다. 보통 해커들이 피해자에게 랜섬웨어를 보낼 때 교묘하게 정상 프로그램인 것처럼 위장을 시켜놓기도 하고, 지인이 이메일을 보낸 것처럼 만들어 놓고 첨부 파일을 열게 한다던지.. 별짓을 다 해서 랜섬웨어를 실행시킬 수 밖에 없도록 만듭니다. 이런걸 사회공학적 기법이라고 하는데 설명드기엔 내요이 길어지기 때문에 이후 글에서 설명드리겠습니다.

 

그리고 제일 큰 문제는 단순히 특정 웹사이트만 접속해도 자동으로 악성코드가 다운로드 받아지고 실행이 되는.. 이런 경우도 존재한다는게 문제인데요. 처음부터 기술적인 내용을 말씀드리긴 어려우니 이런 케이스는 '드라이브 바이 다운로드 (Drive-by Download)취약점'이라고 해서 '브라우저의 특정 취약점을 통해서 발생한다'라고만 생각하시면 될 것 같습니다. 물론 이런 사이트들을 접속할 때 백신이나 크롬같은 브라우저 자체적으로 막아주기도 합니다만.. 취약점이 존재하는 브라우저를 사용하거나 백신이 동작하지 않을 때 접속한다면 문제가 되겠죠. 그래서 기사에서도 랜섬웨어에 대한 피해를 줄이기 위해서는 백신과 브라우저의 최신 업데이트가 필요하다라고 언급하고 있습니다.

​

정상 SW로 위장한 갠드크랩, 실행했다가 랜섬웨어 ‘감염’

 

위에서 말씀드렸던 내용을 이미 알고 계시면 읽지 않아도 무방하지만, 잘 모르겠다 하시는 분들은 다시 한번 읽어보면 좋을 것 같습니다. 참고로 기사 제목에 나오는 갠드크랩이니 한 때 유명했던 워너크라이니 하는 이름들은 그냥 여러 해커 조직들이 만든 랜섬웨어마다 붙여진 브랜드 쯤으로 생각하시면 될 것 같습니다. 이름은 달라도 하는 짓은 결국 다 똑같으니 이름에 크게 연연하지 않으셔도 될 듯 합니다. 오늘은 간단하게 나마 랜섬웨어에 감염되는 과정과 해커들이 이를 어떤 방식으로 배포하는지 말씀드렸구요. 다음에는 랜섬웨어의 디테일한 동작이나 랜섬웨어를 예방하는 방법.. 이런 내용들을 세세하게 다뤄보도록 하죠. 그럼 오늘은 여기까지 쓰겠습니다. 감사합니다.