2021. 5. 28. 19:50

PC 사용자를 위한 랜섬웨어(Ransomeware) 공격 예방법

클릭하는 내용을 주의할 것
개인 사용자를 노리는 랜섬웨어 공격은 대부분 피싱 관련 이메일이나 악성 파일을 설치하는 웹 페이지 등 클릭하지 말아야 할 것을 클릭할 때 이뤄진다. 기업을 노리는 랜섬웨어 공격은 브루트 포스(brute force)나 수집된 크리덴셜을 이용해 원격 액세스 프로토콜에 접근하는 방식으로 이뤄지는 경우가 많다. 네트워크에 침입한 공격자는 백업을 중단시키고 최적의 공격 타이밍이 올 때까지 잠복한다.

랜섬웨어의 역사는 1989년으로 거슬러 올라간다. 당시 랜섬웨어는 플로피 디스크를 통해 사용자 컴퓨터에 침입했다. 이후 3일째 되는 날에 컴퓨터 정보를 볼모로 삼아 사용자에게 몸값을 요구했다. 최근 화제가 됐던 랜섬웨어 공격은 미 동부 연안의 송유관 업체인 콜로니얼 파이프라인을 겨냥해 이뤄졌다.

이 공격으로 인해 기름 수요가 폭증하고 주유소가 폐쇄되는 사태가 빚어졌다. 해당 송유관 회사에 대한 여론도 악화됐다 (그리고 회사가 해커 조직인 다크사이드에게 수백만 달러의 몸값을 지불했다는 얘기도 있었다). 이는 랜섬웨어가 기업에 어떤 영향을 미칠 수 있는지 생생하게 보여주는 사례였다.  

백업, 백업 그리고 또 백업할 것
필자는 보안과 랜섬웨어를 주제로 한 페이스북 그룹을 공동 운영하고 있다. 사용자들이 랜섬웨어 공격으로 인한 피해를 복구하는 방법에 대해 질문할 때, 필자는 백업 여부를 되묻곤 한다. 여기서 백업이란 사용자 컴퓨터로부터 ‘에어갭’이 된 외장 하드 드라이브에 데이터를 주기적으로 저장하는 것을 의미한다.

백업 파일이 저장된 드라이브에 사용자가 액세스할 수 있다면, 공격자도 액세스할 수 있다. 따라서 백업 매체당 사용 주기를 최소화하고 데이터 사본을 항상 사용자 시스템으로부터 분리해두는 것이 좋다. 또한 백업 소프트웨어에 타인의 드라이브 접근을 막아주는 안티 랜섬웨어 기능이 있는지 알아보는 것이 좋다. 

랜섬웨어 대응 사이트인 nomoreransom.org에는 대중에게 잘 알려진 랜섬웨어들이 공개돼 있다. 만약 공격자가 암호화 키를 공개한 상태거나 혹은 전문가가 공격자의 키 관리 서버를 역으로 해킹해 암호화 툴을 확보한 경우 이 사이트에서 복호화 툴을 찾아볼 수 있다. 하지만 궁극적으로 랜섬웨어 감염을 무효화할 수 있는 마법의 해결책은 없다.

공격자 속이기
만약 모험적인 시도를 좋아한다면, 라신(Raccine) 같은 툴을 설치하는 방법도 고려해볼 수 있다. 라신은 vssadmin을 통해 생성한 모든 섀도 복사본을 랜섬웨어가 삭제하지 못하게끔 막아준다. 공격자가 시스템을 추적하고 있음을 암시하는 첫 번째 신호로는 백업파일이 알게 모르게 삭제되거나 백업 프로세스가 중단되는 경우를 들 수 있다.

라신은 윈도우 7 이상에서 구동되며, 공격자 서버와 랜섬웨어 간 커뮤니케이션을 방해한다. 백업 프로세스의 성패 여부를 항상 추적하는 것도 중요하다. 필자는 백업 소프트웨어를 통해 주요 인프라의 백업이 제대로 이뤄졌는지 여부를 알림 받을 수 있도록 설정해뒀다. 시스템 상태를 점검할 수 있는 주요 방법 중 하나로 백업 완료 여부를 추적하는 것을 들 수 있다.

공격자를 속이기 위해 사용할 수 있는 또 다른 방법은 러시아어 키보드를 설치하는 것이다. 러시아를 근거지로 둔 해킹조직인 다크사이드의 랜섬웨어의 경우 특정 인스턴스를 체크하진 않았다. 하지만 보통 러시아 기반의 맬웨어는 러시아 기반 시스템을 회피한다 (러시아어 키보드를 설치했다고 해서 꼭 그걸 사용할 필요는 없다.

시스템 트레이에서 영어를 설정해 사용해도 된다. 하지만 이 방법을 통해 공격자를 속일 수 있다). 최근 랜섬웨어 공격자를 내쫓아버린 보안 툴이 있다. 바로 시스몬(Sysmon)이다. 마이크로소프트가 무료 제공하는 이 툴은 윈도우 기기의 보안 이벤트 로그를 향상시켜준다.

솔라윈즈 사태 당시, 시스템에 시스몬, 프록몬(Procmon), 프로세스 익스플로러(Procexp), 오토런(Autorun)이 설치돼 있었다면 공격자가 기업을 추적하는 일은 없었을 것이다. 공격자도 추적당하는 걸 원치 않았기 때문이다. 특히 중소기업이라면 시스몬을 이용해 시스템의 로그 파일 수집력을 고도화하는 걸 추천한다. 

할 수 있는 일
요컨대, 공격자가 손쉽게 랜섬웨어 공격을 감행하지 못하도록 하는 게 좋다. 공격 가능성을 줄이기 위해 할 수 있는 일은 다음과 같다.

  • 백업을 정기적으로 수행하고, 파일의 복사본을 적어도 하나 이상은 늘 오프라인 상태로 유지할 수 있도록 여러 개의 외장 하드 드라이브를 보유한다. 
  • 브라우저를 최신 상태로 유지하고 운영체제와 상관없이 업데이트가 진행될 수 있도록 확인한다.
  • ISP(전자 메일을 제공하는 경우), 지메일 혹은 아웃룩의 필터링 기능이 제대로 작동하는지 확인한다. 
  • 원격 데스크톱 프로토콜을 사용하는 중소기업이라면 원격 액세스용 2단계 인증 방법으로 듀오 인증(Duo Authentication)을 사용해볼 수 있다. 그리고 원격 액세스와 관련해 외부인에게 암호를 공유하지 않는다.

랜섬웨어를 완벽하게 방어할 수는 없겠지만, 이런 방법들을 통해 적어도 공격을 받을 가능성을 낮출 수는 있다.

https://www.ciokorea.com/news/194274