록키의 행동 패턴 분석한 프랑스 보안 회사, 백신 캠페인 시작
비트디펜더, 세 가지 랜섬웨어 막을 수 있는 무료 툴 배포 중

[보안뉴스 문가용] 프랑스의 사이버 보안 기업인 렉시(Lexsi)에서 록키(Locky)를 막을 수 있는 백신 캠페인을 진행하고 있다. 물론 개발 완료 시점 이후에 등장한 변종에 대해서는 별다른 효과가 없을 수도 있지만, 그 이전 버전의 악성 랜섬웨어들이라면 어느 정도 대처가 가능하다고 한다.

렉시의 실벵 사르메젠느(Sylvain Sarmejeanne)는 블로그를 통해 “록키는 시스템 언어가 러시아어로 설정되어 있는 경우 악성행위를 하지 않는다”는 사실을 알리며 “이는 즉, 사용자 설정에서 언어를 러시아어로 바꾸면 록키 랜섬웨어의 침투를 막을 수 있다는 뜻이 된다”고 자신들이 발견한 사실 및 이번 백신의 가장 중요한 원리를 밝혔다.

그런데 여기서 문제가 생긴다. 러시아어를 모르는 사용자는 활용할 수 없는 방법이라는 것이다. “그렇다면 HKCU\Software\Locky 레지스트리 키를 만들면 됩니다. 이 레지스트리 키가 록키가 감염된 기기에서 가장 먼저 만들어내는 것이죠. 이 레지스트리 키를 생성하는 데에 실패하면 록키는 활동을 멈춥니다. 즉 미리 만들어 생성을 못하게 하면 록키의 활동을 멈출 수 있는 겁니다.”

렉시에 의하면 록키는 컴퓨터 아이덴티파이어 키, 퍼브키(서버에서 가져온 공개 키), 페이텍스트(사용자에게 노출되는 텍스트), 완성된 값들을 확인한다고 한다. 특히 완성된 값이라 하면 암호화 과정이 종료되었다는 걸 뜻하는데, 이 값을 1로 맞추고 아이덴티파이어 값에 올바른 이름을 지정하면 역시 감염 활동을 멈춘다고 한다.

또한 록키는 암호화 과정에 퍼브키를 활용하며, 이 퍼브키에 올바르지 않은 값이 입력되어 있으면 암호화에 실패한다. 퍼브키가 이미 존재하는 경우에는 별도의 확인 과정 없이 이를 그대로 사용한다. 즉 사용자가 록키 랜섬웨어의 암호화 과정에 인위적으로 개입할 여지가 있다는 것이다.

이 모든 방법들의 가장 큰 문제는 컴퓨터에 대한 사전 지식이 반드시 필요하다는 것이다. 즉 컴퓨터 다루는 게 능숙치 못한 사람이라면 레지스트리나 킷값을 함부로 건들이지 못한다는 게 문제라는 뜻. 하지만 사용자를 돕기 위한 자동화 툴이 비트디펜더(Bitdefender)에 의해 개발되었고 현재 무료로 배포 중이다.

렉시가 록키에 초점을 맞췄다면 비트디펜더의 무료 툴은 CTB 락커(CTB-Locker)와 록키, 테슬라크립트(TeslaCrypt) 랜섬웨어 모두에 대한 방비책이다. 하지만 비트디펜더 측은 툴의 원리를 자세히 설명하길 거부했다. “랜섬웨어 제작자들이 이 기사를 읽고 저희 툴을 우회하기 시작하면 안 되니까요.”

최근 의료업계 및 병원을 필두로 랜섬웨어의 공격이 기승을 부려 업계를 바짝 긴장시켜 왔는데 드디어 그에 대한 해결책들이 하나둘 씩 마련되는 분위기다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>