더욱 비싼 금액을 요구하는 랜섬웨어, 스텔스 기능까지 도입
여전히 확실한 해결방법 없어...평소 꾸준한 예방이 중요

[보안뉴스 민세아] 사용자 PC의 파일을 암호화해 인질로 잡고, 돈을 요구하는 랜섬웨어(Ransomware)가 점점 진화하고 있다. 랜섬웨어의 가장 대표적인 주자로 알려진 크립토월(CryptoWall)은 지난 1월에 등장한 3.0 버전에 이어 최근 해외사이트를 중심으로 4.0 버전이 유포되고 있다.


스팸 메일을 통해 유포되기도 하는 크립토월 4.0 버전은 스팸 메일에 첨부된 ZIP파일의 resume.js 스크립트 파일을 실행할 경우 러시아 웹 서버에 등록된 파일을 다운로드해 감염될 수 있다. 크립토월 4.0 버전은 사용자 PC에 존재하는 문서, 사진, 동영상 등의 파일을 RSA-2048키를 사용하는 AES CBC 256Bit 암호화 알고리즘을 통해 암호화한다.

크립토월 4.0 버전의 특징은 기존과 다르게 암호화된 파일명과 확장자를 모두 변경해 기존에 어떤 파일이었는지 알 수 없도록 한다는 점이다. 다만 한글문서(.hwp), 일부 그림파일(.png) 등에 대해서는 암호화가 되지 않는다.

사용자 파일을 암호화한 다음에는 파일 암호화 동작을 수행한 악성 파일과 자동 실행 레지스트리 값을 모두 삭제함으로써 자신의 흔적을 제거한다. 이후 사용자에게 168시간 이내에 700달러를 비트코인(Bitcoin)으로 지불하라는 메시지를 출력하면서 결제 방법을 안내한다.

크립토월 3.0 버전에 비해 달라진 점이 있다면 보다 부드러운 톤으로 사용자에게 돈을 요구한다는 점이다. “파일에 이런 증상이 있으니 복구를 원하신다면 소프트웨어 패키지를 700달러에 구매해야 한다”는 식이다.

이는 크립토월 3.0 버전에 비해 200달러 인상된 가격이다. 또한, 이들은 사용자가 지정된 시간 이내에 돈을 지불하지 않을 경우 1,400달러로 자동 인상된다고 안내하고 있다.


글로벌 정보보호 기업 비트디펜더(BitDefender)에 의하면 크립토월 4.0의 경우 차세대 방화벽 솔루션으로도 탐지할 수 없을 정도로 강력한 스텔스 기능을 가지고 있어 범죄자가 원하는 시점에 마음대로 사용자를 협박할 수 있는 것으로 알려졌다.

안타까운 것은 아직까지 랜섬웨어로 인해 암호화된 파일을 완벽하게 복구할 수 있는 해결책이 없다는 사실이다. Windows 운영체제의 시스템 복원 기능을 이용하더라도 사용자 파일은 암호화된 채로 계속 유지된다. 이 때문에 현재로써는 예방법에 기대를 걸 수밖에 없다. 보안전문가들이 제시한 랜섬웨어 예방법은 어떤 것이 있을까?

랜섬웨어는 주로 프로그램 취약점을 이용해 악성코드를 유포하거나 메일 첨부파일, 혹은 불법 파일을 다운로드해 실행하는 과정에서 감염되는 경우가 대부분이다. 그러므로 제일 먼저, 윈도우 업데이트(Windows Update), 웹 브라우저, 어도비 플래시 플레이어, 오라클 자바 등의 보안 업데이트를 수시로 확인하고, 패치가 발표되는 즉시 설치해야 한다.

또한, 랜섬웨어 악성코드는 문서, 압축파일, 이미지, 음원파일 등을 주로 암호화하기 때문에 자신에게 매우 중요한 문서나 파일의 확장자를 .exe 등으로 변경해 보관하면 직접적인 공격을 피할 수 있다. 비트코인을 요구하는 랜섬웨어도 일단 컴퓨터가 제대로 부팅되고 나서야 작동하는 것인데 .exe 파일이 암호화될 경우 정상적인 부팅이 어려워질 수 있다. 이 때문에 일반적으로 랜섬웨어 악성코드는 .exe 파일을 암호화하지 않는다. 그러나 이 방법 역시 임시방편적인 성격이 강하다.

중요 파일 열람만 가능하도록 ‘읽기 속성’만 부여하는 것도 한 가지 방법이다. 랜섬웨어가 파일을 암호화할 때는 ‘수정 속성’을 필요로 하기 때문에 랜섬웨어를 예방하는 방법 중 하나가 될 수 있다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>