역대 "최고"의 컴퓨터 바이러스(악성코드)

 

바로 2013년부터 전 세계적으로 기승을 부리고 있고 지옥의 악성코드로 불리는 CryptoLocker 바이러스에 관한 이야기이다.

 

 

 

 

1. CryptoLocker 바이러스란?

 

이름에서 알수 있듯이 사용자의 데이타를 암호화해서 사용할수 없게 잠궈버리는 바이러스이다. 최소 128비트 암호화 심한 경우는 256비트 암호화 알고리즘을 사용하기 때문에 현존하는 최고 성능의 컴퓨터로더 해독하는데 수백년이 걸리는... 사실상 복구가 불가능하게 데이타를 암호화시킨다.

 

(본 이미지는 CryptoLocker의 한 버전이면 현재로는 여러가지 변종이 있기에 화면은 천차만별이다.)

 

 

 

2. 기존의 바이러스와 다른점

 

기존의 바이러스나 악성코드는 불특정 다수의 컴퓨터 안의 데이타를 훼손시키거나 특정 작업을 유도하는데 중점이 맞춰져있는 반면, CryptoLocker 바이러스는 사용자의 데이터를 볼모로 삼아 사용자에게 돈을 요구한다는 점에서 해커의 범죄의지가 더욱 명확하며 그 죄질 또한 더 악랄하다고 하겠다.

이런 류의 악성코드를 랜섬웨어(ransomware)라고 하는데 2013년부터 CryptoLocker의 등장으로 더욱 유명해지게 되었다.

 

 

 

 

3. 걸리면 어떻게 되나?

 

일단 CryptoLocker 바이러스에 감염되면 사용자 컴퓨터의 모든 문서파일, 이미지 파일을 모조리 암호화해서 덮어써버린다. 기존의 파일을 덮어쓰기때문에 파일복구 프로그램으로 복구가 불가능하며 이미 데이타는 훼손되었기때문에 안티바이러스 프로그램으로 바이러스를 제거한다고 해도 이미 암호화된 데이타는 되돌릴 수 없다. (암호화된 파일이름은 *.encrypted 로 바뀐다.)

 

유일한 복구방법은 오로지 백업데이타 복구 뿐인데 만일 평소에 데이타를 백업해두지 않았다면 이 모든 파일을 잃게 된다.

 

감염 범위는 사용자 컴퓨터의 모든 드라이브(외장하드, 네트워크 폴더 포함)로 광범위하게 확장되며 그 속도 또한 무척 빠르다. 감염을 의심하고 컴퓨터 스위치를 내리거나 랜선을 뽑아도 이미 로컬데이타는 전부 암호화되는 경우가 태반이다.

 

 

 

4. 그러면 어떻게 해야 하나?

 

일단 CryptoLocker에 감염되어서 데이타가 암호화되면 데이타 백업이 없다는 가정하에 선택할수 있는 것은 3가지 뿐이다. 

 

(1) 해커에게 돈을 지불하고 복호화키를 탑재한 복구프로그램으로 데이타를 복구하거나,

(2) 감염된 데이타를 잘 보관해두었다가 혹시나 몇십년 후에 지금의 컴퓨터 성능을 훨씬 뛰어넘는 수퍼컴퓨터가 나오면 그것을 이용해서 복호화하는 방법,

 

(3) 아니면 그냥 데이타를 깨끗이 잊고 새출발하는 길뿐이다.

 

그러나 문제는 (1)해커에게 돈을 지불한다고 하더라도 그들이 복호화키를 보내줄지 말지는 장담할수 없다. 그야말로 엿장수 맘임.

실제로 전문가들은 이 바이러스에 걸려도 돈을 지불하지 말것을 권고하고 있다. 그것은 해커가 데이타를 복구해주지 준다는 보장이 없다는 이유도 있지만,

테러리스트들에게 돈을 주면 결국 더 많은 테러리스트를 양성하게 되든 논리와 마찬가지로 더욱 이런 랜섬웨어가 기승을 부리게 된다는 이유에서이다.

 

728x90

 

5. 돈을 어떻게 지불하나?

 

만약 울며 겨자먹기로 돈을 지불한다고 하면 어떻게 돈을 지불할까? 당연히 이들은 범법자이기 때문에 정상적인 금융권을 통해서 지불할수 없다. 여기서 바로 해커&테러리스트들의 화페인 비트코인이 사용된다.

오로지 비트코인을 통해서만 데이타 복구비용을 지불할 수 있다.

 

 

 

5. 최근 사례

 

직장의 보스가 최근 이 바이러스에 걸려서 그의 랩탑의 모든 데이타가 암호화되었다. 그냥 잊고 넘어가기엔 그 데이타가 너무나 중요한 데이타들이었고 보스는 이걸 어떤 방법을 통해서든 복구하기를 원했다. CryptoLocker 바이러스가 요구하는 금액은 약 1.5비트코인, 당시 시세로 환산하면 약 600불정도 되는 금액이었다. 시간제한은 100시간이었으면 그 시간이 지나면 금액을 4배로 올린다고 협박해왔다.

 

데이타의 중요성에 비하면 600불은 그리 큰돈이 아니니까 바로 비트코인을 구매했고 해커에게 쏘자 바로 복구프로그램을 내려받을수 있었고 그것으로 암호화된 파일의 상당수를 복구할수 있었지만 일부 파일들은 여전히 훼손되었거나 복구가 불가능했다. (해커의 암호화/복호화 프로그램의 버그로 보인다.)

 

물론 이것은 내 주변에 일어난 한가지 예일뿐, 실제로는 돈만 먹고 튀는 경우도 다반사거나 실제로는 복구가 안되는 경우도 많다고 한다.

 

 

 

6. 어떻게 전파되나?

 

보통 관공서의 이메일을 가장한 스팸메일로 전파되는 경우가 많다. zip등으로 압축된 첨부파일이 있는데 그 안에는 실행파일이 들어있다. 그런데 문제는 그 실행파일의 이름이 invoice.pdf.exe 같은 식이다. 윈도우 탐색기의 설정이 '알려진 확장자 숨기기'로 설정되어 있는 경우 이 파일은 마치 pdf 파일처럼 보일것이다. (더 최악인건 윈도우의 기본 설정이 이런 식이라는 점이다.) 사용자는 이걸 단순한 문서파일로 생각하고 열게되면 바로 악성코드를 가진 실행파일이 실행된다.

 

최근에는 실행파일을 포함한 압축파일등을 필터링하는 안티바이러스나 보안플러그인을 사용하는 경우가 생겨나자 자신들의 가짜 홈페이지(피싱사이트)로 유도하여 앞서 설명한 문서파일처럼 보이는 실행파일을 다운로드하도록 유도하여 실행하도록 하기도 한다.

 

 

 

 

 

7. 돈을 지불해서라도 복구를 해야하나?

 

이부분은 말 그대로 it's up to you.

 

전문가들은 그러지 말것을 권고하지만 데이타가 날아간 당사자의 심정은 절박할수 밖에 없다. 행여 해커들이 돈만 먹고 튄다고 하더라도 지푸라기라도 잡는 심정으로 돈을 지불해서라도 데이타를 복구하고자 할수도 있다. 그러나 앞서 설명했듯이 지불은 오로지 비트코인을 통해 이루어지기 때문에 컴퓨터에 익숙하지 않은 사람이면 돈을 내고 싶어도 할줄 몰라서 못하는 경우가 태반이다. 

 

우습게도 이런 상황을 해커들도 잘 아는듯 그 지불방법을 아주 디테일하게 설명해주고 있다. (동영상으로도 알려주는 경우도 있다.)

따라서 지불방법(비트코인 생성, 구매, 결제등의)에 대한 설명이 친절(?)하고 자세할수록 돈을 지불했을시에 데이타를 복구할수 있는 확률이 높아진다고 보면 거의 맞다.

 

 

 

8. 결론

 

일단 첫째도 백업, 둘째도 백업이다.

요새 외장하드 ㅈㄴ 싸다. 용산가서 2테라 적어도 1테라짜리 하나 사서 수시로 중요데이타를 백업하는 습관을 가져라. 백업이 끝나면 본체에서 분리해서 다른곳에 보관하는것 잊지마라. (가끔보면 백업하드라고 컴퓨터에 연결해놓고 쓰는 ㅂㅅ들이 있는데 백업 백번해도 백업하드가 감염되면 말짱 도루묵이니 백업이 끝나면 분리해서 다른곳에 잘 보관해라.) 인터넷 환경이 짱짱하다면 드롭박스나 원드라이브같은 클라우드 웹하드를 이용해서 백업하는것 방법이 될수 있다.

 

셋째는 윈도우의 탐색기의 '알려진 파일 확장자 숨기기' 옵션을 꼭 꺼놓으라는 점이다. 이 부분만 주의해도 실수로 악성실행파일을 실행하는 실수를 막을 수 있다. 

 

 

 

 

<결론>

 

1. 백업해라

2. 2번해라

3. '알려진 파일 형식의 파일 확장명 숨기기' 꺼라 !!