ShadowExplorer 이용해 랜섬웨어 암호화 파일 복구하는 방법은?

[보안뉴스 민세아] 지난 4월 처음 한글화된 랜섬웨어(Ransomware)가 국내에 상륙하면서 본격적으로 한국을 타깃으로 한 랜섬웨어 공격이 시작됐다. 보안전문 기업 이노티움의 랜섬웨어침해대응센터에 따르면 지난 3월 이후부터 국내 랜섬웨어 악성코드 침해신고가 꾸준히 증가하다가 10월에는 전달의 10배 이상 급증하는 수치를 보였다고 전했다.


랜섬웨어 악성코드는 주로 보안 업데이트가 제대로 되지 않은 상태에서 웹 서핑을 하거나 출처가 불분명한 이메일의 첨부파일을 확인하다가 감염될 가능성이 높다. 랜섬웨어 악성코드는 사용자의 문서, 사진, 동영상, 압축 파일 등 중요 파일을 암호화한 후 비트코인을 지불하면 풀어주겠다는 협박을 하는 악성코드다.

일반적으로 랜섬웨어에 감염되면 돈을 지불해 풀려나는 방법밖에 없는 것으로 알려졌다. 하지만 돈을 지불해도 실제로 파일을 복원해주는 경우도 드물다. 때문에 랜섬웨어에 감염된 사용자들은 발을 동동 구르며 ‘진짜로 돈을 지불해야하나’라는 고민에 빠진다.

그런데 최근 일부 랜섬웨어 악성코드에 의해 암호화된 파일을 특정 프로그램을 통해 복구가 가능하다는 사실이 알려졌다.

윈도우 운영 체제 기본값에서는 시스템 보호 기능을 통해 PC를 사용하는 과정에서 문제가 발생할 경우 특정 복원 지점으로 복구할 수 있도록 시스템 복원 기능이 활성화되어 있다. 해당 기능은 시스템 시작 시 ‘VSS’라는 이름으로 등록된 ‘볼륨 쉐도우 복사본’ 서비스가 담당하고 있다. 랜섬웨어 악성코드는 사용자를 감염시킬 때 해당 기능을 해제시키고 기존에 백업된 복원 지점을 제거하기도 한다.

그러므로 랜섬웨어 악성코드 감염 피해자는 감염사실을 확인한 후 먼저 시스템 복원 기능을 통해 복구가 가능한지 점검할 필요가 있다. 일부 피해자의 경우 ShadowExplorer 프로그램을 이용해 일부 파일에 대해 복구에 성공한 사례가 있기 때문이다.

ShadowExplorer는 윈도우 비스타(Vista)/7/8 버전의 ‘볼륨 쉐도우 복사본’ 서비스에 의해 생성된 쉐도우 복사본을 검색할 수 있게 해주는 프로그램이다. 이는 쉐도우 복사본에 접근할 수 없는 홈 에디션 사용자뿐만 아니라 다른 버전의 사용자들에게 유용하다. 복원 가능한 포인트 복사본 보여주기, 쉐도우 복사본 검색, 파일 및 폴더 버전 가져오기 등의 기능을 수행할 수 있다.


주의할 점은 ShadowExplorer 프로그램을 통해 파일을 복구할 경우 파일 암호화를 시도하는 랜섬웨어 악성코드를 제거한 후 작업을 시작해야 한다는 점이다. 만약 랜섬웨어 악성코드에 감염된 상태에서 기존에 백업된 복원 지점이 정상적으로 존재할 경우 해당 프로그램을 이용하면 복원 지점 목록이 생성되는 것을 확인할 수 있다. 감염 이전의 복원 지점을 선택한 후 복구를 원하는 파일을 찾아 마우스 오른쪽 클릭으로 ‘Export’를 실행하면 해당 파일을 정상적으로 복구할 수 있다.

다만 해당 복구 방법으로 기능한 것은 △기존에 시스템 복원 기능이 활성화돼 있던 PC 환경 △감염된 랜섬웨어가 볼륨 쉐도우 복사본(Volume Shadow Copy) 서비스를 통해 생성된 복원 지점을 삭제하지 않은 환경이어야 한다는 제약이 있다.

이와 관련 보안 전문 블로거 ‘울지 않는 벌새’는 “랜섬웨어 악성코드로 인한 피해를 예방하기 위해서는 아주 중요한 자료는 다른 저장장치에 백업한 후 PC와 연결하지 않은 상태로 유지해야하며, 감염 예방을 위해 백신뿐만 아니라 보안 업데이트를 꾸준하게 점검하는 습관이 필요하다”고 전했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>