보안IT뉴스 보안권고문 보안Tip 보안처방
보안통신
보안용어 보안백신메일 보안캘린더 보안위협DB 찾기 보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안통신

관리자 2015년 4월 21일 국내 한글판 랜섬웨어 ‘크립토락커’ 안내 24967  

국내 유명 인터넷 사이트 광고서버 해킹을 통해 랜섬웨어 악성코드 ‘크립토락커’ 유포 감염 피해 속출하고 있습니다.
인터넷 익스플로러 11버전 이하 보안 취약점 및 JAVA / Adobe사 Flash 및 PDF 보안 취약점 통해 급속도로 확산되고 있습니다.
최신 보안 업데이트가 지원되지 않는 윈도우 XP 사용자 및 보안 업데이트 미 실시 컴퓨터 각별히 주의가 필요한 실정입니다.!

4월 21일 국내 유명 IT 커뮤니티 사이트 인 ‘클리앙’을 통해 유포된 크립토락커(Cryptolocker) 랜섬웨어(Ransomware)가 매우 큰 피해를 입히고 추가 피해가 발생할 여지가 남아 있어 사용자들의 각별한 주의가 요구되고 있습니다.

기존에 발생하여 감염 사례가 접수되었던 랜섬웨어와 달리 이번 경우에는 최초로 한글화가 되어 악성코드 감염 유포가 진행되었다는 점이 가장 주목해야 할 점이며 향후 동일한 형태의 사건이 국내에서 지속적으로 발행할 가능성이 매우 높아 정부 단체 및 기업 그리고 나아가 개인 사용자들에게도 각별한 주의가 요구되고 있습니다.



[PC 내 주요 파일 암호화 후 파일 복원을 위해 몸값 지불하라는 협박성 안내문구]

 

크립토락커 랜섬웨어는 사용자 PC 및 네트워크 등으로 공유 연결되어 있는 저장 장소의 주요 데이터를 암호화 시키고, 이를 볼모로 복원을 위한 금전을 요구하는 악성코드입니다.

윈도우 운영체제 및 인터넷 익스플로러(IE) 11버전 이하를 사용하고 있으며 보안 취약점을 패치하지 못한 컴퓨터 시스템, 전 세계적으로 널리 사용되고 있는 자바(JAVA), 어도비 플래시(Flash), PDF 등을 사용하고 있으면서 최신 보안 업데이트를 진행하지 않은 컴퓨터 시스템 등에서 랜섬웨어 유포를 위해 해킹된 웹사이트를 방문하게 되면 자동으로 다운로드 되어 감염이 진행되는 드라이브 바이 다운로드 (Drive by Download) 형태로 발생하고 있습니다.

[주요 피해 대상]


  1. 보안 업데이트에 취약한 윈도우 XP 사용자 및 인터넷 익스플로러 IE 버전 11이하 사용자 PC
  2. 어도비(Adobe) Flash 플레이어 및 PDF 보안 업데이트 미 진행 사용자 PC
  3. 오라클 Java 등의 보안 업데이트 미 진행 사용자 PC
  4. 백신 프로그램 미 설치 및 최신 업데이트 미 진행 사용자 PC
  5. 마이크로소프트(MS)사 오피스 제품군 보안 업데이트 미 진행 사용자 PC
  6. 국내 한글과 컴퓨터사 오피스 제품군 보안 업데이트 미 진행 사용자 PC

 

크립토락커 랜섬웨어에 감염되면 사용자 몰래 하드디스크에 있는 파일을 모두 스캔한 뒤, 암호화 대상을 선별하여 데이터 암호화를 실시합니다. 공격자는 데이터 복원을 위한 복호화 키를 사용자 PC에 저장하지 않고 공격자 서버 쪽으로 가져가기 때문에 이를 정상적으로 복구하기란 사실상 불가능한 상황입니다.

금번 사건을 통해 들어난 더 큰 문제는 감염된 시스템에서 연결되어 있는 네트워크 서버나 클라우드 서비스에 저장된 데이터에도 영향을 끼친다는 점으로 물리적, 논리적으로 연결된 모든 드라이브에 접근해 데이터를 암호화하고 있습니다. 클라우드 서비스도 실시간으로 동기화되기 때문에 이를 피해갈 수 없는 상황입니다.
(※일부 클라우드 서비스 유료 서비스 사용자의 경우 버전 복원이 가능함)

국내외 보안 전문가들의 의견에 따르면 랜섬웨어는 복호화를 위해 돈을 지불해도 키를 주지 않는 경우가 대부분이므로 공격자들에게 금전을 지불하는 우를 범해선 안된다고 강조하고 있습니다. 하지만 현실적으로 중요도가 매우 높은 데이터가 암호화된 경우 최종적으로 기대를 걸어볼 수 있는 부분이 금전을 지불하고 복호화 키가 포함된 복원 프로그램을 받아서 진행해보는 것이기 때문에 실제 공격자들에게 금전을 지불하는 경우가 있습니다. 그러나 아쉽게도 성공적으로 암호화된 데이터를 복원했다는 이야기는 많이 듣지 못하고 있는 상황입니다.

현재 터보백신 제품군에서는 해당 랜섬웨어를 탐지하는 업데이트가 진행돼 있는 상태입니다.
Trojan-W32/Cryptolocker.335872
Trojan-W32/Cryptolocker.229892

[랜섬웨어 감염에 대한 대비책]

  1. 주기적인 주요 데이터 백업과 백업 디스크의 물리적인 분리
  2. 보관하는 데이터의 속성을 읽기 전용으로 변경
  3. 기업에서 운영하는 서버들은 언제라도 공격대상이 될 수 있으며, 악성코드 유포지로 악용될 수 있음을 인지
  4. 내부에서 공유하고 있는 파일서버 및 DBMS 등의 보안 업데이트 등을 반드시 실시하여 대비

 

[시스템 최신 업데이트 및 보안 관련 권장 안내 사항]

  1. 터보백신 제품 군에 대하여 최신 업데이트 후 전체 시스템에 대한 정밀 검사를 진행합니다. 실시간 감시 기능도 항상 활성화 시켜 놓고, 특히 불분명한 상대로부터 온 첨부파일이 들어있는 이메일은 확인하지 말고 삭제하도록 합니다.
  2. 컴퓨터 운영체제가 특히 윈도우 XP 인 시스템의 경우 더 이상 마이크로소프트사를 통한 보안 업데이트가 이루어지지 않으므로 마지막으로 제공된 최신 업데이트 및 인터넷 익스플로러 (브라우저 버전 8)에 대한 업데이트를 반드시 진행하시어 알려져 있는 보안 허점에 대한 패치를 사용자가 진행해 주어야 합니다.

    (시작->모든 프로그램->Windows Update 메뉴 실행하여 더 이상 업데이트할 부분이 없다고 나올 때까지 진행을 권장)

    지원 기간 종료된 마이크로소프트 오피스 2003 버전에 대한 지속적인 사용도 위험도가 높은 상황으로 볼 수 있습니다.
  3. 구글에서 제공하는 크롬(Chrome) 브라우저의 경우 향후 1년 간은 추가적으로 지원을 한다고 하니 윈도우 XP 에서는 당분간 Chrome 브라우저를 사용하시어 인터넷 자료 검색 등을 진행하시는 편이 보다 안전한 방법으로 보입니다.
  4. 추가적으로 Adobe 사에서 제공하는 Flash Player 에 대한 최신 업데이트, PDF 뷰어에 대한 최신 업데이트, Oracle 사에서 제공하는 Java 프로그램에 대한 최신 업데이트 등은 반드시 확인 후 진행해 주시기 바랍니다.

    플래시 플레이어 최신 업데이트 확인 -> https://get.adobe.com/flashplayer/?loc=kr
    오라클 JAVA 최신 업데이트 확인 -> http://www.java.com/ko/download/installed8.jsp

    국내 관공서 및 기업체에서 많이 사용하는 한글과 컴퓨터사의 제품군에 대한 보안 업데이트도 필수 입니다.
  5. 추가적으로 프로그램 추가-제거 항목 등을 확인하시어 불필요한 소프트웨어는 삭제하시기 바랍니다.

    사용자가 인터넷을 통해 자료를 다운로드 받는 행위 중 무심코 설치되는 악성 프로그램의 경우 정상적인 바이러스 / 악성코드 감지가 되지 않을 확률이 높습니다.
  6. 컴퓨터에 로그인하는 사용자 계정에 대한 영문, 숫자, 특수문자를 조합한 복잡한 암호체계를 갖추시기 바랍니다.

백신 프로그램에 대한 최신 업데이트가 지원되더라도 시스템에 대한 보안 허점이 패치 되지 않는다면 지속적인 바이러스 / 악성코드의 침입과 변종(신형)에 의한 감염을 막을 수 없는 상황이 계속 발생할 수 있습니다.

앞으로도 보안 업데이트가 종료된 윈도우 XP 시스템과 오피스 2003 계열의 사용자들에 대한 금번 랜섬웨어와 같은 바이러스 / 악성코드 공격은 늘어날 것으로 보이며, 시스템 방어에 대한 가장 기초적인 보안 업데이트를 전체적으로 점검하고 필요한 경우 시스템 업그레이드 측면도 고려해보셔야 할 시점입니다.