최근 무료로 공개된 랜섬웨어 복구 도구 최신 버전이 지난해 발생한 `뽐뿌`발 랜섬웨어로 암호화된 데이터를 푸는데 효과가 있는 것으로 나타났다. 그 당시 데이터를 포기하지 않고 보관하고 있던 피해자라면 해커에게 몸값을 지불하지 않고도 일부 자료를 회복할 것으로 기대된다.
1일 업계에 따르면 온라인 커뮤니티와 블로그 등에 카스퍼스키랩 랜섬웨어 복구 도구 `라노 디크립터(RannohDecryptor)`를 사용해 암호화된 데이터를 되찾은 사례가 속속 전해진다. 지난해 6월 대형 온라인 커뮤니티 등에서 유포돼 많은 피해가 발생한 `크립트XXX` v3.0 감염 파일도 복호화한다.
지난해 외주 배너광고 플래시 취약점 등을 악용해 대량 유포된 크립트XXX는 기존 복호화 툴을 무력화한 변종이다. 몸값을 지불하지 않고는 데이터 복구가 사실상 불가능했다. 정상파일을 위장하는 기법으로 보안 솔루션 평판탐지 기법 등을 회피해 피해를 늘렸다. 금전 요구 안내 사이트에 한글을 지원하는 등 국내 사용자를 노린 정황도 포착됐다.
카스퍼스키랩은 라노 디크립터를 내놓은 이후 랜섬웨어 제작자와 지속 공방전을 벌였다. 복구 툴이 나오면 제작자는 변종을 다시 유포하고 복호화 툴도 이에 대응해 업그레이드하는 식이다.
카스퍼스키랩이 지난 달 내놓은 라노 디크립터 새 버전은 크립트XXX에 의해 확장자명이 .crypt, cryp1, crypz로 바뀐 파일까지 복구한다. 유럽 사법 당국과 인텔시큐리티, 카스퍼스키랩 등이 참여하는 국제 공조 프로젝트 `노모어랜섬` 홈페이지 등에서 무료 배포 중이다.
프로그램을 실행하고 암호화된 파일과 암호화되지 않은 상태의 원본 파일 하나, 랜섬웨어 감염 후 생성되는 몸값지불 안내문서(html, txt 형식)를 넣으면 복구 가능 여부를 알려준다. 복호화 과정에서 파일이 손상될 우려가 있어 복사본 활용이 권장된다. 파일이 많거나 용량이 크면 시간이 걸린다. 랜섬웨어 이름이나 변경 확장자 명은 같더라도 일부 변종에 의한 피해는 복구되지 않는다.
국내 보안업계도 랜섬웨어 대응 솔루션이나 복구 도구 개발에 노력을 기울인다. 안랩 역시 지난해 6월 말께 크립트XXX 3.0 부분복구 도구와 전용백신 등을 공개했다. 일부 문서 파일 등에 한해 내용 확인이 가능한 수준으로 복호화한다.
보안업계 관계자는 “보통 랜섬웨어가 사용하는 암호화 방식을 분석해 복호화 가능성을 살펴보고 툴 제작에 들어 간다”면서 “유포자를 잡아 암호를 푸는 `키`를 얻지 않는 이상 완벽한 복호화 툴 개발은 어렵다”고 말했다.
보안 전문가는 당장 시급하게 사용해야 하는 자료가 아니라면 복구대행업체를 찾거나 해커에게 돈을 주지 않고도 기다리다보면 되찾을 길이 있다고 조언한다. 소중한 추억이 담긴 사진이나 기록 등은 랜섬웨어로 암호화되더라도 지우지 않고 별도로 보관하는 편이 좋다.
랜섬웨어 종류가 다양한 만큼 복호화 도구도 여러 종류가 나왔다. 유포자가 체포되거나 자발적 포기를 선언하고 복호화 키가 공개된 사례도 있다.
이창훈 카스퍼스키랩코리아 지사장은 “소중한 데이터를 찾기 위해 당장 범죄자에게 몸값을 지불하기보다는 복호화 도구가 발표되기를 기다리는 것도 한 방안”이라면서 “많은 전문가가 랜섬웨어 피해를 해결하기 위해 지속 노력 중”이라고 말했다.
박정은기자 jepark@etnews.com
