16만 여개의 복호화 키로 만든 새 복호화 프로그램으로 관련 암호화된 데이터를 복구하는데 도움을 줍니다.

네덜란드 경찰과 유로폴, 인텔 시큐리티와 카스퍼스키랩이 참여한 'No More Ransom'이라는 프로젝트가 출범하며, 사법 기관과 민간 기업이 공조하여 랜섬웨어에 대응하려는 새로운 시도가 시작되었습니다. No More Ransom(www.nomoreransom.org) 프로젝트는 대중에게 랜섬웨어의 위험성을 알리는 동시에 범죄자들에게 대가를 지불하지 않고도 피해자들의 데이터를 복구하려는 목적으로 만들어진 온라인 웹사이트입니다.

랜섬웨어는 공격 대상의 컴퓨터를 잠그거나 데이터를 암호화한 다음, 피해를 입은 장치나 파일에 대한 접근권을 되찾는 대가로 금전을 요구하는 악성 코드의 일종입니다. EU 회원국의 약 2/3가 랜섬웨어 공격에 대한 수사를 진행하고 있는 현실에서 랜섬웨어는 EU 사법 기관의 가장 큰 위협이라고 할 수 있습니다. 랜섬웨어 공격은 개인 사용자의 장치를 대상으로 이루어질 때가 많지만, 기업 및 정부 네트워크까지도 피해를 입히고 있는 실정이며, 피해자 수는 놀라운 속도로 늘어나고 있습니다. 카스퍼스키랩의 집계에 따르면 암호화 랜섬웨어 피해자 수는 2014년 ~ 2015년 131,000명에서, 2015년 ~ 2016년 718,000명으로 50% 증가되었습니다.

NoMoreRansom.org
www.nomoreransom.org 웹사이트의 설립 취지는 랜섬웨어 피해자에게 도움이 되는 온라인 정보를 제공하는 것입니다. 이 사이트에서는 랜섬웨어의 정의와 동작 원리 그리고 예방책에 대한 정보를 찾을 수 있습니다. 랜섬웨어를 예방하는 데 가장 중요한 것은 경각심과 보안 의식입니다. 모든 랜섬웨어를 무력화할 수 있는 복호화 프로그램은 없기 때문입니다. 한 번 감염되면 데이터를 영원히 되찾을 수 없을 가능성이 높습니다. 간단한 사이버 안전 수칙에 따라 신중하게 인터넷을 이용하면 사전에 랜섬웨어 감염을 예방할 수가 있습니다.

No More Ransom 프로젝트는 범죄자에 의해 암호화된 일부 데이터를 복구할 수 있는 도구도 제공합니다. 포털 사이트는 아직 초기 단계지만 여러 종류의 랜섬웨어 악성 코드에 대비한 4개의 복호화 도구를 갖추고 있습니다. 그 중에는 2016년 6월에 등장한 Shade의 변종과 같은 최신 악성 코드에 대한 복호화 도구도 포함됩니다.

Shade는 2014년 말에 출몰한 랜섬웨어로써 악성 웹사이트와 감염된 이메일 첨부파일을 통해 유포됩니다. 사용자의 시스템에 침투한 후 저장되어 있는 파일을 암호화한 뒤, 대가를 요구하는 메시지와 함께 그 절차를 안내하는 .txt 파일을 생성하는 방식입니다. 강력한 AES-256 알고리즘을 사용하는 Shade는 2개의 256비트 AES 키를 무작위로 생성하여 하나는 파일의 내용을, 다른 하나는 파일명을 암호화합니다. 그리고 암호화된 각 파일을 복구하는 데에는 파일마다 고유한 키가 필요합니다.

2014년부터 카스퍼스키랩과 인텔 시큐리티가 차단한 Shade 랜섬웨어의 공격 시도는 27,000건 이상에 이릅니다. 감염 시도가 가장 잦은 지역은 러시아, 우크라이나, 독일, 오스트리아, 카자흐스탄입니다. 프랑스, 체코, 이탈리아, 미국에서도 Shade의 활동이 발견되었습니다.

여러 기관과 기업이 긴밀하게 협력하며 정보를 공유한 덕분에 범죄자들이 복호화 키를 저장하기 위해 이용하던 Shade의 C&C 서버를 압수하는 성과를 거뒀고, 복호화 키가 카스퍼스키랩과 인텔 시큐리티에 전달되었습니다. 그 결과 범죄자들에게 대가를 지불하지 않고도 데이터를 회수할 수 있는 전용 복호화 프로그램을 현재 No More Ransom 웹사이트에서 제공할 수 있게 된 것입니다. 이 도구에 포함된 복호화 키는 160,000개 이상입니다.

공공 기관과 민간 기업의 공조
이 프로젝트는 공공 기관과 민간 기업이 힘을 합친 비영리성 프로젝트로 계획되었습니다. 사이버 범죄자들이 일반적인 랜섬웨어를 기반으로 변종을 개발하는 등 랜섬웨어의 성격이 변화하고 있는 만큼, 새로운 보안 파트너에게도 문이 열려 있습니다.

네덜란드 경찰청 국립범죄수사국의 국장인 Wilbert Paulissen은 다음과 같이 말합니다. “사이버 범죄, 특히 랜섬웨어에 맞서는 것은 네덜란드 경찰만의 힘으로는 역부족입니다. 이는 경찰과 법무부, 유로폴, ICT 회사가 모두 책임 의식을 갖고 힘을 합쳐야 하는 문제입니다. 그렇기 때문에 저는 경찰과 카스퍼스키랩, 인텔 시큐리티의 공조를 진심으로 기쁘게 생각합니다. 각자의 힘을 합쳐 범죄자들의 사기 계획을 막고, 거액의 돈을 지불하지 않고도 파일을 정당한 소유자들에게 돌려주기 위해 최선을 다할 것입니다.”

카스퍼스키랩은 “현재 암호화 랜섬웨어의 가장 큰 문제점은 사용자들이 귀중한 데이터를 돌려받기 위해 범죄자들에게 돈을 지불할 용의가 있다는 것입니다. 이 때문에 지하 경제가 활성화되고, 그 결과로 새로운 범죄자들이 더 나타나며 공격도 증가하는 악순환이 발생합니다. 상황을 바꿀 수 있는 방법은 오직 한 가지, 랜섬웨어에 맞서 싸우기 위해 힘을 모으는 것뿐입니다. 복호화 도구의 등장은 그 여정의 첫 걸음이라고 할 수 있습니다. 저희는 더 많은 보안 회사들과 사법 기관들이 랜섬웨어와의 싸움에 동참하여 이 프로젝트가 확장되기를 기대하고 있습니다.”라고 말했습니다.

인텔 시큐리티의 EMEA 최고기술책임자인 Raj Samani는 “No More Ransome 프로젝트는 사이버 범죄와의 싸움에 있어서 기관과 보안 기업의 공조가 얼마나 중요한지 보여줍니다. 이번 국제적인 합동 프로젝트를 통해 정보 공유와 소비자 교육, 용의자 체포를 넘어서 실제로 사용자들이 입은 피해를 복구할 수 있기를 기대하고 있습니다. 랜섬웨어를 무력화하여 범죄자들에게 대가를 지불하지 않고도 사용자들이 직접 행동에 나설 수 있다는 것을 입증하고 올바른 행동 지침을 유도할 수 있습니다.” 라고 말했습니다.

마지막으로 유로폴 작전부국장인 Wil van Gemert는 “최근 몇 년 동안 랜섬웨어는 EU 사법 기관의 큰 골칫거리였습니다. 컴퓨터와 모바일 기기, 개인과 기업 모두에게 영향을 끼치는 문제이며 피해자의 데이터에 최대한 타격을 주기 위해 범죄자들은 갈수록 정교한 기술을 개발하고 있습니다. No More Ransom과 같은 프로젝트는 사이버 범죄에 성공적으로 대항하려면 전문 지식과 수사력을 연계하는 일이 중요하다는 것을 보여줍니다. 프로젝트를 통해 많은 사람들이 파일 접근 권한을 되찾는 동시에 경각심을 높이고 악성 코드로부터 컴퓨터를 지키는 방법을 교육하는 효과가 있기를 기대하고 있습니다.” 라고 말했습니다.

항상 신고부터
사법 기관에 랜섬웨어를 신고하면 당국에서 전체적인 윤곽을 파악하고 위험을 완화하고 막을 가능성이 높아집니다. No More Ransom 웹사이트는 유로폴의 국가 신고 체제와 직접 연계하여 피해자가 범죄를 신고할 수 있도록 도움을 제공합니다.
만약 랜섬웨어에 감염되더라도 대가를 지불해서는 안 됩니다. 대가를 지불하는 것은 결국 사이버 범죄자를 부추기는 결과를 낳으며, 무엇보다도 대가를 건넨다고 해서 암호화된 데이터가 100% 복구된다는 보장도 없기 때문입니다.

동영상
랜섬웨어 감염 경로 - https://youtu.be/v-ITcpD1KcQ
No More Ransom 웹사이트 이용 방법: https://youtu.be/wMsHDH67eb4