랜섬웨어 복구 10문제 10답 전문가 인터뷰!
랜섬웨어 복구에 대해 궁금했던 10문 10답 인터뷰 with 데이터 전문가
「하」.
시를 생각해도 참으로 어처구니가 없었다. 필요한 자료가 있어 검색을 했지만 관련 자료를 찾아 내려받는 순간 컴퓨터가 작동하기 시작했다. 마우스의 움직임이 매끄럽지 못해 HDD 쓰기 속도가 갑자기 높아졌다. 랜섬웨어에 감염된 것이다. 솔직히 당황했다. 그렇게 속수무책으로 당하고 말았다. 진짜 너무 빨리 지나갔어.
일반 사용자가 이에 걸리면 복구는 어떻게 해야 하는가? 나름대로 열심히 연구해 봤지만 전문가의 도움 없이는 불가능했다. 데이터 복구 전문가인 김갑동 데이터콤 대표를 만나 ransomware에 대해 알고 싶은 10가지를 물었다.
지금까지 Ransomware에 감염되거나 복구에 대한 해결책을 찾았던 사람이라면 이 글 한 장으로 깨끗이 해결될 것으로 예상한다.
헤실헤실 10문 10답 시작!
1) 랜섬웨어는 언제부터 시작한 건가? 국내에서 문제가 되기 시작해 2019년 현재 어느 정도의 국내 이용자들이 피해를 보고 있을까?
ransomware가 최초로 유포된 것은 정확히 알 수 없다. 대략 2015년 2월경으로 체크되고, 그 후 세계적으로 급속히 확산되기 시작했다. 그 자체가 워낙 다양한 경로로 감염되는 만큼 피해 수를 정확히 파악하기도 어렵다.
국내에서 가장 대중적인 보안 티 회사인 알약, EST보안 통계에 따르면, 보안 프로그램(알약)으로 차단된 ransomware 공격 건수는 2016년 387만 건, 2017년 176만 건, 2018년 139만 건으로 꾸준히 감소하고 있음을 확인할 수 있다.
그러나 이와 관련한 공격 방식은 기하급수적으로 늘어 악성 파일, e메일, URL 등은 지난해 1분기 2942만 개에서 올해 1분기 4617만 개가 됐다. 이는 보다 다양한 루트로 국내 사용자가 ransomware에 노출되기 쉽다는 의미로도 해석된다.
파일의 확장자가 바뀌다 고 있다.
2. 사용자가 겪는 ransomware 감염 순간의 대표적인 증상은?
감염 시 일어나는 대표적인 증상은 악성 바이러스에 걸린 것으로 추정되는 파일 아이콘이 백지로 바뀌는 경우, 파일 확장자가 설정해 놓은 적이 없는 이상한 영어나 숫자 조합으로 변경되는 경우, 파일이 열리지 않아 hwp 한글 파일은 이상한 글자로 변경되는 경우, 배경화면이 파랗게 바뀌게 되는 일부 경우도 발견됐다. 데스크탑과 폴더에 readme.txt 혹은 info, 확장자명의 메모장이 만들어진다.
수상한 메일, 여러가지 되지않음 사람이 있다. 주된 감염 경로는? 주된 감염 경로는 다방면에 걸쳐 있으며, 모두는 불분명하지만, 대표적으로 공공기관 혹은 입사지원서 등 다양한 사칭 메일로 유포해 감염되는 경우가 있다. 유튜브나 p2p 사이트 등의 다운로드 파일로 감염되기도 하고 출처 불명의 사이트나 불법 사이트에 접속해 감염되기도 한다. 또, 원격 제어 프로그램에 의한 해킹 공격등도 보고된다.
Ransomware의 예방법은? 백신 프로그램의 최신 업데이트가 가장 중요하다. 백신 프로그램을 필수 설치하고 주기적으로 업데이트 해야 한다. 습관적으로 스팸메일, 첨부파일을 실행해서는 안 된다. 출처가 불분명하거나 확인할 수 없는 발신자의 메일이나 첨부 파일은 열지 않는 것이 좋다.
평상시에 중요 문서나 파일을 백업 해 두는 것이 중요하다. 중요한 문서나 파일은 정기적으로 별도의 저장공간에 저장할 것을 권장하며 평소 사용하는 PC 운영체제 및 각종 프로그램의 최신 보안패치를 적용하여 평소 불법사이트 접속을 하지 않고 불법파일 다운로드를 할 것을 주의하는 것이 좋다.
3. ransomware 증상 발생시 무엇부터 해야 하는가?
가장 먼저 할 일은 당황하지 않는 것이다. 만약 악성 파일에 걸리면 제일 먼저 해야 할 일은 컴퓨터의 랜선을 모두 빼는 거야. 랜섬은 인터넷을 통해 접속하고 공유 폴더를 통해 다른 PC까지도 함께 오염시키기 때문이다.
만약 PC라면 사용 중이던 연결선을 즉시 뽑고, 만약 회사라면 공유 서버에 연결된 PC 랜섬을 모두 뽑아 인터넷을 차단시킨다. 특히 회사는 여러 대가 동시에 피해를 보면 업무를 마비시키고 그 비용도 엄청나게 커지기 때문에 차단이 필수적이다.
필자가 확인한 readme.txt 파일 네이버 백신으로 잡히지 않았다.
readme.txt와 같은 메모장 파일을 수정하거나 삭제하는 것을 최대한 자제해야 한다. 이 방안을 보면 영어로 된 내용은 사용자에게 보내는 경고장, 복원에 필요한 정보가 담겨 있다.
손상된 파일들은 그 장소에 방치해야 한다. 자체적으로 해결하려고 인터넷에 나도는 검증되지 않은 프로그램을 마음대로 실행시키거나 확장자를 임의로 또 바꾸면 파일이 손상돼 복구가 불가능한 상태가 될 수 있다.
랜섬웨어도 점차 발전해갔고 타입도 변화했을 것이다. 어떠한 방식으로 변화하고 있는가?
최근 트렌드마이크로가 발간한 2019 상반기 위협 보고서를 보면 새로운 공격집단은 점차 감소하거나 비슷한 모습을 보이고 있는 반면 그 공격방식은 기하급수적으로 늘어 악성파일, e메일, URL 등은 지난해 14분기 2942만건에서 올 14분기 4617만건으로 크게 늘어났다.
이는 ransomware 조직과 종류는 대폭 줄었지만, 공격 루트는 보다 다양화되어 생각보다 많은 국내 사용자가 ransomware에 무방비에 노출되어 있다는 의미로 해석된다.
5. 초기 몇 개의 확장자는 안랩연구소의 해제 툴을 통해 해결이 가능했던 것으로 알고 있다. 다양한 안티랜섬 프로그램을 네이버 자료실에서도 검색할 수 있다. 그러나 현재는 해결이 불가능하다고 한다. ransomware 복호화 암호는 정말로 풀 수 없는가?
국내뿐만 아니라 해외에도 많은 ransomware 종류가 있고 지속적으로 발전하고 있으며 보다 복잡한 코드로 암호화되어 있기 때문에 모든 정보를 수집해 복구 프로그램을 만드는 데에는 한계가 존재한다.
따라서 국내에서 개발된 복구 프로그램도 아직 1년 또는 2년 전에 걸린 것에 대한 백신이 대부분이며 최근 걸리는 ransomware에 대해서는 현재로선 복구 프로그램이 언제 개발될지 미지수라고 할 수 있다.
유포자가 남긴 주소에 접근한 상황
6. 기억에 남는 해결건은?
국내에서 개발된 백신이 있으면 무료로 정보를 공유해 주고 복구도구를 제공하고 있다. 최신 ransomware는 유포자에게 비용을 지불하고 복구 키를 방법 이외에 해결하는 방법이 없어 아쉽다고 자주 생각한다. 개인 및 기업까지도 ransomware에 노출되어 있으며 정말 다양한 고객이 의뢰해 주고 있다.
가족사진이나 자녀들의 성장과정이 담긴 추억이 모두 감염돼 의뢰에 맡긴 고객도 있었고, 한국 자회사를 둔 중국 중견기업의 서버가 감염돼 며칠 밤을 새우며 실시간으로 중국 현지 근무자들과 접촉하며 복구를 진행하기도 했다.
가장 기억에 남는 것은 어느 정도 어르신이 은퇴 후 간단한 아르바이트를 할 때 PC를 잠시 사용하다가 감염돼 아르바이트 장소까지 위험하다고 긴급히 요청해 심야에 서둘러 방문해 복구시켜 준 기억이 오래 남는다.
소디나무비 ransomware7. 데이터콤은 어떤 프로세스로 데이터 복구가 이루어지는가? 일반 의뢰인이 알기 쉽게 말해 달라.
국내에서 개발된 백신이 있으면 무료로 정보를 공유하고 복구 도구를 제공하고 있지만, 복구 도구가 개발되지 않은 ransomware의 경우 유포자에게 비용을 지불하고 복구 키를 받는 방법 외에는 해제할 수 있는 방법이 현재는 유일하다.
이러한 복구 도구가 없을 경우 유포자와 접촉하여 요구비용을 협상하여 지불한다. 이때 복구키를 받은 뒤 복구가 제대로 됐는지 확인하는 일을 한다. 복구키가 정상적으로 작동하는지 확인 후 복구를 진행하고 있으며, 복구완료 후 복구비용을 청구하는 방식으로 진행중이다.
가장 중요한 부분은 한국이 해외에 있는 유포자와 직접 접촉해 복구 키를 받는 작업까지 대행으로 진행할 것, 그리고 복구되지 않거나 유포자가 비용만 받고 도망갈 경우 의뢰인에게 일절 비용을 청구하지 않는다.
8. 그렇다면 데이터콤의 서비스는 일종의 대행 서비스업으로 볼 만하다. 사용자는 어떤 점을 기준으로 해커의 요구를 들어주고 데이터를 복구하는 것이 좋을지 전문가 입장에서 구분해 주기 바란다.
우선 감염된 데이터를 복구할 만한 가치가 있는지 사용자 스스로 판단해야 한다. 중요한 프로젝트 파일이나 추억이 담긴 파일, 기업의 중요 파일이라면 복구하는 것이 좋을 것이다.
요즘은 다양한 ransomware가 유포되고 있는 만큼 대행업체들도 자주 접촉해야 한다. 유포자가 원하는 비용이 있는데도 터무니없이 비용을 요구하는 업체, 또는 자체 개발된 프로그램이 있다며 소액으로 복구를 진행하고 있다는 업체는 의심해 봐야 한다.
감염 후 파일을 임의로 변환하거나 복구를 시도할 경우 파일이 손상되어 복구 불가 상태가 될 수도 있으므로 주의하는 것이 좋다. 기업의 경우는 스스로 해결하기보다는 전문가와 상담하여 더 이상 피해가 발생하지 않도록 차단하는 것이 가장 중요한 부분이다.
미친듯이 복구하고 싶은데 방법이 없네.
해커가 돈을 들고 달아나는 경우도 있을 것 같다. 피해자로서는 가장 부담이 되는 부분인데, 지금까지 그런 경우는 얼마나 있었습니까.
우리 회사의 장점은 신뢰감이라고 할 수 있다. 불행히도 우리 회사가 랜섬웨어를 복구하는 데 실패한 적이 없다. 바꾸어 말하면, 복구하지 않는 경우, 그 비용을 청구하지 않는다. 이것은 복구 계약서에도 명확하게 명시되어 있으므로 믿어도 좋다. ㅋ
이 이상 의뢰인에게 확신을 줄 방법은 없다고 생각해. 랜섬웨어 복구뿐 아니라 모든 데이터 복구도 후불 방식으로 진행하고 있다. 일을 못하면 수수료를 받지 않는 것인데, 이것은 당연하다고 생각한다.
10. Ransomware에서 돈을 버는 해커는 범죄자로 볼 수 있을 것 같다. 도대체 어떤 사람들인가. 앞으로 이런 문제들을 위해 국가적, 또는 기업이 어떤 제도적, 시스템적 노력을 해야 하는가?
해커들은 대부분 해외 전문조직이라고 보면 된다. 다양한 종류의 ransomware 를 개발하고 유포한다. 이런 한 조직이 여럿 있다. 조직이기 때문에 ransomware를 만드는 개발자. 유포되는 유포자 등 한두 명이 아닌 여러 조직으로 운영된다.
지금도 사법기관과 공공기관이 합심해 예방에 힘쓰고 있지만 기술적으로 미흡한 게 현실이다. 국내뿐 아니라 해외 기업들도 백신을 개발하고 있다. 그러나 백신을 개발하는 속도보다 유포하는 속도가 더 빠르고 광범위하다. 해당 정보를 수집해 백신을 만드는 데 한계가 있는 이유다.
ransomware 방지를 위해서는 방지 프로그램의 개발도 중요하지만 다양한 ransomware가 계속적으로 개발되고 있기 때문에 가장 중요한 것은 개인 혹은 기업이 미리 예방하는 것이다. 예방법은 시간이 있을 때 데이터콤 블로그의 자료를 확인하면 좋을 것이다.
신속하고 정확하며 신속한 '데이터컴' 데이터 복구, 서버 복구, 랜섬웨어, 컴퓨터 유지보수 *** 365일 연중무휴 24시간 상담 가능 *** 서울 송파구 충민로 66 가든파이브라이프 7층 7043T.1577-6515M.010-9706-6612E.data_come@naver.comwww.datacome.netblog.naver.com
데이터콤 대표이자 데이터 관련 전문가 김갑동 씨와의 인터뷰 영상입니다.인터뷰에 응한 김갑동 대표는 휴먼인터페이스 개발사이자 외국계 IT회사인 시냅틱스에서 7년간 근무하며 스마트폰 노트북 태블릿 등 터치센서 개발 관련 일을 해왔다. 다양한 제품에 들어가는 터치칩을 개발하면서 거기에 들어가는 알고리즘과 메모리에 관심을 갖게 됐고, 그에 따라 다양한 저장매체의 메모리까지 관심을 확대시켜 데이터콤을 창업했다.
누구나가 다양한 보존 매체에 소중한 자료나 정보를 보관하는 시대. 자료 손실의 위협과 위험도 점차 높아지고 있지만 누구나 대중적으로 보다 쉽게 데이터 랜섬웨어 복구를 접할 수 있도록 하는 것, 그와 그가 설립한 데이터콤의 목표다.
어려운 결정으로 다시 한번 인터뷰에 응해주셔서 감사드린다.
2019 Dicagallery 함영민
