랜섬웨어는 악의적인 의도를 가진 코드의 한 형태로, 개인이나 조직의 데이터를 암호화하여 접근을 차단하고, 이를 해제하는 대가로 금전을 요구하는 사이버 공격입니다. 하지만, 적절한 백업 전략을 마련해 둔다면 이러한 공격으로 인한 피해를 최소화할 수 있습니다.
오늘은 랜섬웨어의 위협으로부터 자신을 보호하고, 만약 공격을 받더라도 피해를 최소화할 수 있는 방법에 대해 알아보겠습니다.
랜섬웨어의 실체
랜섬웨어는 사용자의 컴퓨터 시스템을 잠그거나 데이터를 암호화하여 접근을 불가능하게 만드는 악성 프로그램입니다. 공격자는 암호화된 데이터를 복구해주는 대가로 암호화폐를 요구합니다. 랜섬웨어 공격은 주로 기업이나 정부 기관을 대상으로 하지만, 개인 사용자도 공격의 대상이 될 수 있습니다.
랜섬웨어는 끊임없이 새로운 변종이 등장하며 점점 더 교묘해지고 있습니다. 대부분의 공격자들은 금전적 이득을 목적으로 하지만, 일부는 피해자에게 고통을 주는 것을 즐기는 듯합니다. 예를 들어, 백업 파일을 의도적으로 삭제하는 ‘제니스(Zenis)’ 랜섬웨어나, 파일을 암호화하지 않고 삭제한 후에도 금전을 요구하는 ‘저먼와이퍼(GermanWiper)’ 랜섬웨어가 있습니다. 이 경우, 피해자는 돈을 지불해도 데이터를 되찾을 수 없습니다.
또한 랜섬웨어 공격은 이전보다 더욱 다양한 경로를 통해 이루어지고 있습니다.
보안 전문가인 Victor Congionti는 “랜섬웨어는 다양한 방식으로 전파되어 사용자 보호가 더욱 어려워지고 있습니다. 과거에는 이메일을 통해 악성 링크를 다운로드하도록 유도하는 방식이 주를 이루었지만, 이제는 앱이나 소프트웨어로 위장하거나, 특정 조직 내의 취약한 개인을 대상으로 하는 스피어 피싱 공격을 통해 전파됩니다”라고 설명합니다.
이제 사이버 공격은 마치 정글과 같습니다!
랜섬웨어 공격으로부터 백업을 보호하는 방법
만약 랜섬웨어에 감염된다면, 공격자에게 돈을 지불하고 파일을 되찾거나, 백업 파일을 사용하여 PC를 복구해야 합니다. 하지만, 돈을 지불하는 것은 여러 가지 면에서 바람직하지 않습니다. 따라서, 미리 백업을 준비하여 랜섬웨어 공격으로부터 안전하게 복구할 수 있도록 해야 합니다.
다음은 백업에 대한 세 가지 주요 원칙입니다.
- 랜섬웨어는 PC에서 접근 가능한 모든 것을 암호화하거나 삭제한다고 가정합니다. PC나 클라우드에 연결된 하드 드라이브에 백업하는 경우, 해당 백업 파일은 랜섬웨어에 감염될 가능성이 높습니다. 이러한 백업은 하드 드라이브 고장과 같은 일반적인 문제에는 도움이 될 수 있지만, 랜섬웨어 공격에 대한 유일한 방어 수단이 되어서는 안 됩니다.
- 백업 연결을 네트워크에서 분리합니다. 랜섬웨어에 대한 가장 확실한 방어책은 ‘에어 갭’을 사용하는 것입니다. 즉, 컴퓨터와 인터넷에서 완전히 분리된 백업 매체를 사용해야 합니다. 예를 들어, 외장 하드 드라이브에 백업할 경우, 정기적인 백업 시에만 연결하고, 백업 후에는 다시 분리해야 합니다. Congionti는 “로컬 스토리지 드라이브가 네트워크에 연결된 상태로 유지되지 않도록 해야 합니다. 이렇게 하면 랜섬웨어가 네트워크를 통해 로드되어 저장 장치에 접근하여 백업을 암호화하는 것을 방지할 수 있습니다. 드라이브가 연결되면 랜섬웨어가 백업 파일에 접근하여 다른 파일과 함께 암호화할 수 있습니다”라고 말합니다. 이는 불편하고 수동적인 작업이 필요하지만, 매우 효과적인 전략입니다.
- 버전 관리를 사용합니다. 외장 드라이브를 분리하더라도 100% 안전한 것은 아닙니다. 백업을 실행할 때 시스템이 이미 랜섬웨어에 감염되어 있을 수 있기 때문입니다. 보안 전문가 Dror Liwer는 “버전 관리는 랜섬웨어 공격으로부터 복구를 보장하는 핵심 전략입니다. 파일의 여러 버전이 저장된 백업 도구를 사용하여 시스템을 복원할 때 감염 이전 시점으로 되돌릴 수 있어야 합니다”라고 강조합니다.
실제적인 백업 전략 구현
일반적인 백업 솔루션은 랜섬웨어 공격으로부터 사용자를 보호하기에 충분하지 않습니다. 단순히 데이터를 동기화하거나 미러링하는 클라우드 스토리지는 랜섬웨어 공격에 취약합니다. 무료 버전의 Dropbox, OneDrive 또는 Google Drive는 데이터를 안전하게 보호할 수 없습니다.
하지만, 유료 클라우드 스토리지를 사용하면 상황이 달라질 수 있습니다. Dropbox의 유료 등급에는 ‘되감기’ 기능이 포함되어 있습니다. Dropbox Plus(2TB 저장 용량)는 30일간의 파일 기록을 제공하여 언제든 복원할 수 있으며, Dropbox Professional(3TB)은 180일간의 기록을 제공합니다.
OneDrive는 자체적으로 랜섬웨어 보호 기능을 제공합니다. OneDrive가 랜섬웨어 활동을 감지하면 사용자에게 알리고 최근 파일 변경 여부를 확인합니다. 만약 사용자가 변경하지 않았다면, Microsoft는 손상된 파일을 복원하는 것을 도와줍니다.
Google Drive 및 iCloud는 자체적인 랜섬웨어 보호 기능이 없으므로, 랜섬웨어 공격에 취약하다는 점을 인지해야 합니다.
온라인 백업 솔루션 대부분은 버전 관리를 사용하므로, Acronis, Carbonite, iDrive와 같은 서비스를 이용하면 랜섬웨어 감염 이전 시점으로 복구할 수 있습니다. Carbonite의 마케팅 책임자인 Norman Guadagno는 “Carbonite는 고객 지원을 통해 12,600명 이상의 고객을 랜섬웨어 공격으로부터 복구하는 데 성공했습니다.”라고 밝혔습니다.
일부 온라인 서비스는 랜섬웨어 방지 도구를 제공하기도 합니다. 예를 들어, Acronis에는 악성 동작을 감지하는 ‘Active Protection’이라는 도구가 있습니다. Acronis의 사이버 보안 책임자인 James Slaby는 “Active Protection은 비정상적인 동작을 감지하면, 예를 들어 여러 파일의 이름을 변경하고 암호화하는 프로세스를 즉시 종료합니다”라고 설명합니다.
마치 아폴로 우주선에 두 개의 독립적인 유도 컴퓨터가 있었던 것처럼, 데이터를 백업하는 방법을 두 가지 이상 사용하는 것이 좋습니다. 랜섬웨어로부터 복구하기에 충분히 강력한 솔루션과 함께, 쉽고 접근이 용이한 동기화 기반 솔루션을 결합하여 사용하는 것이 좋습니다.
예를 들어, Dropbox나 OneDrive와 같은 클라우드 백업 솔루션을 사용하여 다른 PC에서 파일을 사용하거나, 컴퓨터 고장 시에 대비할 수 있습니다. 만약 이러한 서비스에 랜섬웨어 보호 기능이 있다면 더욱 좋습니다.
동시에 버전 관리를 지원하는 안전한 백업 솔루션을 구현해야 합니다. 외장 드라이브에 쓰는 로컬 백업 앱이나, 클라우드에 파일을 저장하는 온라인 백업 서비스를 사용할 수 있습니다. 이러한 백업을 사용하면 파일에 접근하기가 어려울 수 있지만, 일반적인 파일 동기화로서는 대처할 수 없는 랜섬웨어 공격으로부터 데이터를 보호할 수 있습니다.
랜섬웨어 감염을 피하는 방법
랜섬웨어는 매우 위험한 악성 프로그램이지만, 다른 악성코드와 마찬가지로 주의를 기울이면 감염을 피할 수 있습니다.
안전한 다계층 백업 솔루션을 마련한 후에는 다음과 같은 기본적인 규칙을 지켜 랜섬웨어 노출을 최소화해야 합니다.
- 랜섬웨어 보호 기능이 있는 강력한 백신 프로그램을 사용하십시오. 물론 완벽한 백신 프로그램은 없지만, 백신을 사용하지 않는 것은 보안 전략에 큰 허점을 만드는 것입니다.
- 의심스러운 링크는 절대 클릭하지 마십시오. 웹사이트, 이메일, 문자 메시지에 있는 수상한 링크를 클릭하거나, 신뢰할 수 없는 출처의 파일을 다운로드하지 마십시오. 또한 불법 복제 소프트웨어를 사용하거나, 불법 웹사이트를 방문하지 마십시오. Google Play나 Apple App Store와 같은 공식 앱 스토어에서만 앱을 다운로드하십시오.
- 컴퓨터 시스템을 최신 상태로 유지하십시오. 시스템 업데이트는 보안 취약점을 해결하는 데 매우 중요합니다.
랜섬웨어에 감염된 경우
만약 랜섬웨어에 감염되는 불행을 겪게 되더라도, 너무 절망할 필요는 없습니다. 랜섬웨어에 감염된 파일의 복구에 도움이 되는 몇 가지 무료 도구가 있습니다.
No More Ransom: 이 프로젝트는 McAfee와 유럽 법 집행 기관이 협력하여 만들었습니다. 시스템이 감염되면 No More Ransom 웹사이트에서 샘플 암호화 파일을 업로드하여 암호 해독 키를 찾을 수 있습니다. 이 프로젝트는 랜섬웨어 복구에 대한 정보 및 도구를 무료로 제공합니다.
ID Ransomware: No More Ransom과 유사한 서비스로, 보안 회사 Emsisoft에서 개발했습니다. 또한 암호 해독이 불가능한 공격을 받은 경우, 향후 암호 해독이 가능해지면 알려주는 기능을 제공합니다.