증상 확인→피해 최소화조치→신고 후 데이터 복구 절차, “섣부른 협상 금물”
공격자들 돈만 받고 줄행랑 우려, 인터넷진흥원 ‘랜섬웨어 복구도구’ 등 권장
[중소기업투데이 조민혁 기자] 예방이 가장 중요하지만, 그럼에도 불구하고 만약 랜섬웨어에 감염될 경우 어떻게 대처하면 될까. 흔히 사무실이나 공장 등에서 이런 사태가 발생하면 당황한 나머지 서툰 방식으로 복구를 시도하거나, 아예 공격자의 요구에 무조건 응하는 경우가 많다.
그러나 많은 전문가들은 “이는 매우 경솔하며, 오히려 사태를 악화시킬 우려가 크다”고 주의를 당부한다.
한국인터넷진흥원(산하 ‘인터넷보호나라’ 웹사이트)이 과학기술정보통신부와 함께 공개한 바 있는 ‘랜섬웨어 대응방안’ 매뉴얼에 따르면 우선 ▲증상을 정확히 확인하고 ▲피해 최소화를 위한 긴급조치를 취한 다음 ▲보안 당국에 신고하고 ▲데이터 복구 절차를 밟는다.
단, 섣불리 공격자의 요구에 응해선 안 되며, 사전에 치밀한 검토와 전략이 필요하다는 조언이다.
먼저 랜섬웨어에 감염되면 어떤 현상이 나타날까. 우선 파일 사용불가 상태가 된다. 평소 문제없이 열렸던 문서, 사진, 그림, 음악, 동영상, 파일들 중 일부 혹은 전체가 읽을 수 없게 되거나 아예 열리지 않는 현상이 발생한다.
파일 확장자 변경도 일어난다. 평소 아무 문제없이 사용하던 파일의 이름과 확장자가 바뀌거나 파일 확장자 뒤에 특정 확장자가 추가된 것을 볼 수 있다.
부팅 자체가 불가능할 수 있다. 평소 사용하던 운영체제로 부팅이 되는 대신, ‘랜섬웨어 감염 사실’ 공지나, 금전을 요구하는 화면이 뜬다.
바탕화면이 변경되거나 감염 공지가 뜨기도 한다. ‘알림 창 사용자의 파일이 암호화되었음’이라고 알리고, 이를 해제하기 위한 비용과 지불 방법을 보여주는 안내 창이 나타난다.
이런 경우 우선 피해 최소화를 위한 긴급 조치를 취해야 한다.
특히 외장하드와 같은 외부 저장장치 연결을 즉시 해제해야 한다. 랜섬웨어는 공유폴더, PC에 연결 되어 있는 이동식 저장장치(USB)나 외장하드 등에 저장되어 있는 파일에도 접근해서 암호화할 수 있기 때문에 기존에 백업해둔 파일까지 암호화 될 수 있다.
악명높은 ‘워너크라이 랜섬웨어’처럼 내부망 전파까지도 될 수 있으므로, “외부 저장장치뿐만 아니라 긴급히 네트워크 연결도 해제해야 한다”는게 전문가들의 충고다.
다만 PC 전원은 켜둔채 둔다. 랜섬웨어 공격 양상에 따라선 PC가 종료된 경우 부팅까지 불가능하게 되는 경우도 있으므로 PC 전원을 꺼선 안 된다.
또 즉시 네트워크를 차단해야 하고, 어떤 복구 방법이 있는지도 확인해야 한다. 랜섬웨어의 공격 유형, 즉 감염 알림 창, 암호화된 파일 등 유형을 파악한 후, 백신소프트웨어 제조사 홈페이지 등을 통해 제공하는 ‘복구 툴’이 있는지 찾아볼 필요가 있다.
이와 함께 감염 알림창이나 암호화 된 파일이 생성된 화면을 캡쳐하고 저장한다. 이를 보안 당국에 제출하며 신고한다. 한국인터넷진흥원은 “절대 해커에게 협상을 먼저하거나, 비용을 지불하지 말고 관련기관에 먼저 신고할 것”을 권장하고 있다. 여기서 관련기관은 한국인터넷진흥원(☎118, boho.or.kr) 경찰청(☎112-긴급·무료/182-상담·유료, ecrm.police.go.kr)이 대표적이다.
그런 다음 최대한 데이터를 복구하도록 한다. 먼저 랜섬웨어에 의해 암호화되지 않은 PC 나, 이동식 저장장치(USB)에 데이터를 백업한다. 또 PC를 포맷, 운영체제를 재설치하며, SW에 대해 최신 보안 업데이트를 적용한다. 기존 백업매체와 연결, 데이터를 복구하거나, 랜섬웨어 복구도구를 활용할 수도 있다.
랜섬웨어 복구도구의 경우 인터넷진흥원의 암호이용활성화 홈페이지(https://seed.kisa.or.kr ‘암호 역기능 대응’→‘자료실’)를 이용하면 된다. 민간 보안업체나 노모어랜섬(No More Ransom) 홈페이지(http://www.nomoreransom.org/ko/index.html) 등에서 일부 랜섬웨어에
대한 복구도구를 제공하기도 하지만, 모든 파일이나 암호화 키에 대한 복구가 아닌 부분적인 복구를 지원하는 경우가 많다.
한국인터넷진흥원은 “추후 암호화된 파일과 시스템을 복구할 수 있는 도구가 제공될 경우를 대비하여 감염된 랜섬웨어의 정확한 유형과, 감염된 디스크 및 저장장치를 보관하고 있어야 복구 확률을 높일 수 있다”고 당부했다.
이 기관은 특히 사이버 범죄자와의 협상에 대해 부정적이다. “(공격자에게 돈을 먼저 건넬 경우) 돈을 받은 공격자가 파일 복구에 필요한 복호화 키(Decryption key)를 제공한다는 보장이 없고, 합법적 거래가 아니기 때문에 법적 보호를 받을 수 없다”는 것이다.
실제로 일단 돈을 지불한 피해자(기업)는 그 후로도 공격자에게 손쉬운 대상으로 인식된다. 암호를 풀 수 있는 복호화 키를 제공받더라도 또 다른 범죄행위를 위한 대상이 될 수 있다는 경고다.
이에 “전 세계적으로도 랜섬웨어 감염시 공격자에게 복호화 비용을 지불하지 않도록 보안당국은 권장하고 있다”는 당부다.
출처 : 중소기업투데이 http://www.sbiztoday.kr/
'IT테크' 카테고리의 다른 글
| 철강·건설, 5G 기반 디지털트윈 빠르게 확산 (0) | 2023.09.13 |
|---|---|
| ‘구글’, 그 특별한 인사제도와 기업문화 (0) | 2023.09.11 |
| 영국, 이민자 출신 스타트업 창업 '붐' (0) | 2023.09.04 |
| 디지털트윈 확산에 커지는 사이버공격 '공포' (0) | 2023.08.28 |
| 로보틱스 너머 지능형 ‘클라우드 로봇’ 등장 (0) | 2023.08.21 |
