중국에서 랜섬웨어 대란

중국에서 10만 대 이상의 PC가 감염되는 대규모 ransomware 사건이 발생했다. 중국 사용자만을 노린 이 악성코드는 파일을 암호화한 후 복구해 주는 몸값으로 위안화를 요구한다. 또한 알리페이, 바이두 같은 인기 사이트의 로그인 정보를 탈취한다.

공급망 공격

빠른 시간 내에 대규모 감염은 supply-chain attack을 통해 가능했다. 많은 개발자들이 사용하는 EasyLanguage라는 개발 도구에 악성코드를 삽입해서, 이를 이용해 만들어진 모든 소프트웨어가 랜섬웨어에 감염된 것이다. 그리고 텐센트의 인증서를 훔쳐 디지털 서명을 해서 사용자와 보안 소프트웨어를 속였다.

이처럼 공격 방식은 좋았음에도 랜섬웨어 자체는 엉성했다. 취약한 XOR 암호화를 사용했고, 암호해독키를 피해자의 컴퓨터 특정 위치에 저장한 것이다. 그래서 Velvet security라는 현지 보안회사가 복구 프로그램을 만들 수 있었다.

몸값 지불은 금물

랜섬웨어에 감염됐을 때 해커의 요구에 응해 대가를 지불하는 것은 삼가야겠다. 일단 돈을 준다고 해서 약속대로 파일을 복구해 준다는 보장이 없다. 그리고 이제는 법적인 문제가 될 수도 있다.

미국은 사이버 범죄자를 제재 대상으로 올리기도 한다. 제재 대상과 거래하면 2차 제재 대상이 된다. 따라서 랜섬웨어 제작자가 미국의 제재 대상이 되면, 몸값을 지불한 사람도 범죄자가 되는 것이다. 물론 개인의 소액 지불이 실제 문제가 되진 않겠지만 이론적으로 그렇다.

랜섬웨어 복구업체는 실제 법적 문제에 휘말릴 수도 있다. 이런 업체들은 대부분 암호를 해독하는 기술이 있는 것이 아니라, 해커와 피해자 사이에서 흥정을 하는 것이기 때문이다.

기다리는 것도 요령

랜섬웨어에 감염됐을 때 PC 사용을 중지하고 복구 프로그램을 기다려 보는 것도 한 방법이다. 복구 프로그램이 꼭 나온다는 보장은 없지만, 보안회사에서 개발하여 무료로 배포하는 경우도 적지 않다.


관련 자료
  1. 랜섬웨어 대응책
  2. 알서포트, 해킹으로 코드 서명 인증서 유출
  3. 갠드크랩 랜섬웨어 복구 툴 공개

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다