랜섬웨어 대처 방법

IT 관리자 입장에서 PC는 흔히 관리의 사각 지대라 불립니다.
최근 IT 관리자의 새로운 고민 거기로 랜섬웨어가 떠오르고 있습니다.
감염된 사이트에 접속하는 것만으로도 피해를 볼 수 있어 문제입니다.
관리자가 할 수 있는 적극적인 대응 방법은 감염 시점 이전으로 모든 것을 원상 복귀 시키는 것인데
실제 PC까지 일 백업을 받는 곳은 드물다 보니 램섬웨어 피해를 입으면 마땅한 대응책이 없습니다.

이에 위급 상황에서 고려 가능한 복구 방법을 간단히 소개하겠습니다.

먼저 랜섬웨어의 개념을 알아 보겠습니다.

 

글. 스마일서브 박주현

원문: http://idchowto.com/?p=11480

 

랜섬웨어란?

랜섬웨어란 PC 에 저장된 데이터를 암호화 한 후 복호화 키를 대가로 금전을 요구하는 악성 코드 입니다.
`크립토락커`라는 악성 코드는 몇 달 전까지만 해도 한글 버전이 없었습니다.
하지만 최근 한글 버전이 발견되면서 관리자들이 시급히 대응책을 마련해야 하게 되었습니다.

최근 발견되고 있는 랜섬웨어는 나날이 발전해가는 크래킹 기법에 의해 암호화 하는 수단이 과거보다 복잡해져서
복호화 키를 사용하지 않으면 파일을 원래대로 복원하는 것이 불가능한 경우가 많습니다.

복호화 키를 얻을 수 있는 유일한 방법은 해커에게 대가를 지불하는 것인데
문제는 대가를 지불해도 복원해준다는 보장이 없다는 점입니다.
현재까지 나와있는 랜섬웨어에 대한 예방 방법은 기본 보안 수칙을 생활화하는 것밖에는 없습니다.
랜섬웨어의 경우 인터넷 익스플로러 9 버전대 및 플래시 플레이어, 자바의 취약점 등을 타고
악성 코드가 실행이 되기 때문에 최신 보안 업데이트가 반드시 필요하며 PC의 모든 소프트웨어를 최신 상태로 유지하고
주기적인 백신 검사와 백신을 업데이트해야 합니다.

랜섬웨어도 악성 코드인 만큼 전통적(?)인 공격 수단인 이메일이나 안전하지 않은 웹사이트를 통해 감염됩니다.
따라서 안전하지 않은 웹 사이트에는 접속하지 말고 스팸 메일은 열지 말고 바로 삭제해야 합니다.

이와 함께 중요한 파일은 외부 저장장치에 백업해둔다면 랜섬웨어에 감염되더라도 파일이 훼손되는 것은 막을 수 있습니다.

 

랜섬웨어에 감염이 되었을 시 응듭 조치

악성 코드가 하드디스크에 저장돼 있는 원본을 암호화 시키는 방식은 악성 코드 변형에 따라 차이가 있습니다.
이중 암호화 과정에서 원본 데이터를 덮어쓰지 않고 암호화 된 파일을 별도로 생성한 후 원본을 삭제하는 방식인 경우
원본 데이터의 흔적이 하드디스크에 남아 있을 수 있습니다
.

이 경우 데이터 복구 프로그램을 이용해 데이터를 복원할 수 있습니다

1
그림1. 파일몬 프로그램인`process moniter` 를 통한 모니터링

2
그림 2. `process moniter` 를 통해 확인되는 데이터를 프리웨어 데이터 복원 툴인 `Recuva`를 통해 복원

 

복구 프로그램을 이용할 때 주의해야 할 점은 복구해야 할 데이터가 있는 하드디스크에 소프트웨어를 설치하거나
파일을 복사하는 등 디스크에 데이터가 기록되는 행위는 피해야 하는 것입니다.

파일 프로그램은 파일 삭제 후 하드디스크에 남아 있는 파일의 흔적을 재조합해주는 방식으로 지워진 데이터를 복원해줍니다.
이때 새로운 데이터가 디스크에 기록되는 가정하에 이전 데이터가 저장된 섹터에 데이터를 덮어쓸 가능성이 높기 때문에
이 경우 복원되지 않을 수도 있습니다.

따라서 복원 가능성을 높이려면 되도록 하드디스크를 사용하지 않아야 하며,
복원 과정에서는 반드시 하드디스크를 제거하고 다른 시스템에 저장한 후에 복원 프로그램을 사용해야 합니다.
랜섬웨어 감염 후 디스크 섹터에 다른 데이터가 얼마나 기록되었는지에 따라 복구를 시도 했을 때 복구되는 데이터가 달라지기 때문에
중요한 데이터가 있다면 곧바로 데이터 복구 업체에 보내야 합니다.

앞서 언급한 프로그램들은 대부분 영어 버전으로 되어있습니다.
따라서 사용하기 번거롭다면 윈도우 운영체제에 내장되어 있는 ‘사용자 파일 백업 및 복원 기능’을 이용하십시오.
이 기능을 이용해도 감염 전 파일을 불러올 수 있습니다.
이때 주의할 점은 파일을 백업할 때 반드시 윈도가 설치된 로컬 디스크가 아닌 다른 저장매체에 저장해야 백업이 가능하다는 것입니다.
로컬 디스크는 백업 파일이 저장될 경로에 표시되지 않으며 로컬 디스크에서 백업할 파일이나 폴더를 사용자가 지정할 수 있습니다.

 

백업이 가장 확실한 대응책

지금까지 랜섬웨어에 대해 소개했습니다. 소잃고 외양간을 고치지 않으려면? 백업을 생활화 하고 보안 업데이트를 늘 반영해야 합니다.

About SharedIT

SharedIT

Leave a Reply

1 개의 댓글이 있습니다 - "랜섬웨어 대처 방법"

메일 알림 설정
정렬:   최신 | 오래된 | 추천
kegio

잘 보고 갑니다 ^^

wpDiscuz