어제까지 잘 사용하던 컴퓨터 자료가 오늘 열었더니 이상한 문자로 깨져 보인다면 뭔가 이상함을 느낄 것이다. 파일 하나만 그러면 뭔가 실수로 저장을 잘못 했거나 오류로 인해 그런가 보다 할 텐데, 저장되어 있는 엑셀, 한글, pdf, ms워드 등의 문서나 사진, 동영상 전체가 그렇다면 뭔가 잘못 되었음을 직감한다. 확장자 변경 또한 되어 있다. 이때 의심을 해보아야 할 것은 바이러스 일종인 랜섬웨어 감염이다.
저장된 데이터를 암호화 하고 이것을 인질로 삼아 몸값(랜섬 Ransom)을 받을 목적으로 만들어진 악성코드(소프트웨어 Ware)의 합성어로 작년 2017년 10월 중순부터 발생한 매그니베르(매그니버, 마이랜섬, 마이디크립터 등으로 불리는)와 2018년 1월 중순부터 한단계 업그레이드 되어 공격을 시작한 헤르메스 2.1 랜섬웨어가 대표적이다. 랜섬웨어의 공통적인 특징은 저장된 데이터를 암호화 하고 이 사실을 알려주는 랜섬노트를 작성하여 감염 사실을 알려 준다는데 있다.
매그니베르(메그니버, 마이랜섬, 마이디크립터)는 READ_ME.txt, 헤르메스 2.1은 DECRYT_INFORMATION.html 또는 ENCRYPTED 파일을 생성하는데, 내용 속에 랜섬웨어 유포자가 감염자에게 부여하는 개인 ID가 포함되어 있기 때문에 데이터복구가 필요하다면 꼭 하나의 랜섬노트가 필요하다고 한다.
랜섬웨어에 감염이 되었을 경우 데이터복구 하는 방법은 크게 3가지로 구분할 수 있다. 공개된 랜썸웨어 복구툴이 존재할 경우 이것을 이용하여 복구가 가능하다. 현재 가장 많은 감염 피해자가 발생하고 있는 매그니베르 마이랜섬과 헤르메스 2.1 랜섬웨어의 경우 안타깝게도 공개 복구툴이 없다고 한다. 볼륨 쉐도우 영역이 있을 경우 이것을 통해 데이터를 복구할 수 있는 치료 방법이 존재한다.
유포자 또한 이 방법이 공개된 이후 이것마저 암호화 시켜버리도록 업그레이드 하여 유포하기 시작했으며, 극히 드문 경우가 아니라면 잘 남아있지 않다고 한다. 마지막 방법은 랜섬웨어 유포자에게 암호화된 파일을 풀 수 있는 복호화키가 포함된 소프트웨어를 구매하여 복구하는 방법이 있다. 구매비용을 가상화폐로 원하는데 시세변화가 심하기 때문에 고정되어 있지 않고 계속 변한다고 한다.
데이터복구 전문업체인 '예스컴'에서는 감염된 랜섬웨어의 종류가 무엇인지 먼저 확인을 하고 복구툴이 존재하는지 먼저 확인을 한다고 한다. 그 다음 볼륨 쉐도우 영역이 남아 있는지 확인 작업을 거쳐 복구 가능성 여부를 알려 준다고 한다. 또한 추후에 발생하지 않도록 랜섬웨어 예방 시스템 구축도 상당해주고 있다.
최후의 수단인 복호화툴 구매 대행업무 역시 진행을 하는데 개인이 직접 할 경우 소위 말하는 '먹튀', '잘못된 복호화툴 구매' 등의 위험성을 최소화 하기 위해 샘플 파일이 복구 되는지 과거 이슈가 있었는지 등 철저한 검증 작업을 거친 후 진행을 한다고 한다.
랜섬웨어에 감염이 되었다면 상담을 해보시고 복구가 가능한지 확인을 해볼 필요가 있다. 중요한 파일이 많은 회사라면 랜섬웨어 예방이 가능한 시스템 세팅도 고려해보면 좋다. 자세한 사항은 '예스컴' 홈페이지를 참고하면 된다.
한편, 예스컴은 랜섬웨어복구와 예방서비스구축비용에 대해 총공임비용에서 10~30%를 할인해 주는 이벤트를 실시한다.
[팸타임스=박태호 기자]