랜섬웨어가 치명적인 이유

대부분 일반인들이 인식하는 암호화는 암호화에 사용된 키와,

복호화에 사용되는 키가 일치하는 대칭키 암호화입니다.

그러나, 이번 사태의 랜섬웨어 사용하는 암호화 기술은

흔히 일반인들이 공인 인증서라고 알고 계신것과 동일한 암호화 기법을 이용합니다.

이는 비대칭키 암호화 알고리즘이라고 하는데, 

어떤 키를 이용해 암호화를 수행하면,

그 키와 짝을 이루는 유일한 특정한 키 하나를 이용해서 암호를 풀 수 있습니다.

짝을 이룬 그 키로 암호화 하는 경우, 원래의 키로 암호를 풀 수 있습니다.

이러한 방식중에서 널리 사용되는 구현이 RSA이며,

이는 공개 기술로 누구나 쉽게 이용할 수 있습니다.

다시 말해, 암호학에 대해 아는 것이 아무것도 없는 일반 개발자들도,

이러한 랜섬웨어는 아주 쉽게 만들 수 있다는 뜻입니다.

(취약점을 이용해 원하는 코드를 실행할 수 있는 침투 수단은 돈 주고 살 수 있습니다)

여튼 침투에 성공한 해커는 이 두개의 키를 생성한 뒤,

한 키로 파일들을 암호화 하고, 나머지 키를 서버에 저장해 둡니다.

이 나머지 키를 모르면 파일을 복호화할 수 없습니다.

문제는 다른 한 키를 알아내는 것이 매우 어렵다는 것입니다.

(그래서 홈뱅킹에서 쓰이죠)

왜 어려운가를 쉽게 설명할 수는 없지만,

대략적으로 말씀드린다면 엄청나게 커다란 소수를 이용하기 때문에,

이를 찾는 것이 거의, 아니 거의란 말을 빼도록 하죠.

불가능합니다.

여러분들이 암호화된 파일을 보존해 두었다고 하더라도,

또 다른 천재 수학자(소수의 규칙성을 찾아낼 정도: 리만 가설이 풀리고 이제 기반한 가설들이 모두 풀린다거나)가 등장하거나,

슈퍼 컴퓨터의 그리딩을 이용할 만큼 막대한 재력가가 아닌 이상

해독하실 수 없습니다.

일반적인 PC로는 이를 해독하는데 수십년 이상이 걸릴겁니다.

(이를 암호화의 보증 기간이라고 합니다, 공인 인증서에 유효기간이 있는 이유입니다.)

피해사례들을 보며 정말 가슴이 아프고 눈물이 나더군요,

직장 위기, 평생 모은 가족사진등을 잃은 고통은 감히 상상하기도 힘듭니다.

저도 비슷한 경험이 있습니다.

제 경우는 바이러스 때문이 아니라,

누가 제 컴퓨터를 훔쳐갈 경우를 대비해, 하드디스크를 암호화해 두었는데,

키를 잊어버리는 바람에, 그간 작곡했던 곡 300여곡과 무수한 프로그램 코드들을 잃어버린 적이 있습니다.

(-_- 이건 뭐 누굴 탓할 수도 없...)

다른 보안 전문가들은 바이러스를 제거하고, 절대 입금하지 말라고 조언하던데.

제 생각은 입금만이 유일한 희망입니다.

바이러스를 제거하는 것은 위험할 수 있습니다.

바이러스를 제거하는 순간, 컴퓨터에 남아있던 하나의 키 마저 삭제되어,

해커의 서버에 쿼리를 날리지 못해 입금 하더라도, 복원이 불가능할 수도 있습니다.

(이 부분은 정확치는 않습니다, 해커의 메시지 자체만 보면, 바이러스를 직접 수동 설치해서 복원할 수 있다고는 하는데 애초에 키 쌍 생성에 사용되는 시드가 같은 PC에 대해 매번 동일할 것이란 보장이 없습니다.)

그러니 여러가지 가치판단을 현명히 하셔서, 기회비용을 선택하셔야 합니다.

오후 1.56 추가

FireEye및 Fox IT가 국제 공조를 통해 2014년 5월경 부터 Operation Tovar 를 수행하여 피해자들을 돕고 있습니다.

간단히 말해 해커의 서버를 역공하여, 암호화 키를 빼 내어 피해자들에가 나눠 주고 있습니다.

지금 감염되신 분들은 아마도 변종에다 서버도 다를 것 같아,

아직은 도움받기 힘드시겠지만,

입금하실 생각이 없다면 암호화된 파일을 백업해 두시기 바랍니다.

혹시 정의의 용사가 해커의 서버를 해킹하여 여러분의 키를 돌려줄지도 모르기 때문입니다.

자세한 내용은 https://www.decryptcryptolocker.com 에서 확인 하십시오.

추가 공격 의혹

이번 공격에 의아한 점은, 왜 널리 이용되는 오픈소스 광고 서버인 revive 광고 서버들 중,

하필 클리앙의 것만, 그것도 새벽시간에 공격했는가 입니다.

상식적으로 제가 해커였다면,

동일한 제품을 이용하는 모든 광고 서버를 공격하고,

제로데이(감염된 후, 잠복기를 거쳐 일시에 작동) 공격을 썼을 겁니다.

사용자들이 너무 빨리 사태를 인식하면 모두 보안 패치를 수행 할 테니까요.

제로데이를 프로그래밍 할만한 자원이 없었다면

시간이라도 동접자 수가 높은 시간대를 선택했어야 합니다.

심지어 이번 공격은 브라우저 접속만 해도 감염되는 공격이었기 때문에,

네이버나 다음 카페들에 수사 공조가 힘든 국가에 있는 VPN 서버들을 다중으로 접속한 뒤,

대포 ID로 플래시가 포함된 게시글만 작성해도,

그 효과를 엄청나게 배가시킬 수 있었을 겁니다.

클리앙을 변호할 생각은 없습니다, 다만 만약 해커가 전술한 방법을 썼다면,

어차피 사이트의 보안 수준과는 전혀 무관하게 훨씬 더 많은 피해자가 나왔을 겁니다.

또 다른 이상한 점은 보통, 좀비 PC확보를 이용한 바이러스들은

대게 10여개의 보안 취약점을 이용하는 반면,

이번 랜섬웨어는 겨우 IE와 flash의 취약점 2개만 사용한 것입니다.

제 생각엔, 이번 공격이 마치 테스트 처럼 보입니다.

돈이 주 목적이었다면, 아주 약간의 수고만 더 했어도, 훨씬 심각한 피해를 야기할 수 있었을 겁니다.

다시 말해 더 많은 돈을 아주 간단한 수고만으로 벌 수 있었다는 뜻입니다.

조만간 대규모로 확산될 가능성이 매우 높습니다.

향후 추이

가장 우려되는 것은

현재, 국내를 대상으로 금전 목적의 해킹이 대부분, 

파밍(가짜 사이트 등을 이용한 피싱) 형태인데,

이 놈들이 랜섬웨어가 더 돈이 된다고 인식하는 것입니다.

아시다시피 홈뱅킹이 잘 안된다던가,

회사 인트라넷의 ActiveX가 브라우저 버전을 탄다던가 하는 이유로,

많은 분들이 원치 않게 구버전의 IE를 쓰고 계시죠.

이미 알려진 취약점을 공격하는 침투수단은 가격도 저렴해서

이쪽으로 달려들 가능성이 높을 겁니다.

클리앙 글 읽다보면, 업데이트 안한 사람 탓하는 글들도 많던데,

물론 업데이트 했다면 이번 공격은 막을 수 있었습니다.

그러나 사실, 업데이트나 백신정도론 표적 해킹을 막는다는 것은 어림도 없습니다.

다만, 남들이 먼저 당한 불특정 다수 공격을 피할 수 있는 정도죠.

그리고 모든 업데이트는 수정과 함께 새로운 버그를 포함합니다.

더 치명적인 인질을 노리는 것 역시 걱정을 안할 수 없습니다.

개인의 소중한 추억과 정보가 훨씬 높은 밀도로 집약된

스마트폰을 다음 주요 인질로 삼을 것은 불을 보듯 뻔한 일입니다.

특히나 안드로이드 플레이 스토어의 경우, 기계검수 이외에 특별한 추가 검수가 없기 때문에,

제 3자 제공 앱 설치를 안한다고 해서 안심할 수도 없습니다.

안드로이드 계열은 복잡한 해킹 없이도,

해박한 지식이 없는 일반 사용자에겐 너무 어려운 문구로 가득한 화면 밑의 허락 버튼 한 번 만으로,

랜섬웨어가 모든 내용에 접근할 수 있기 때문에 문제가 더 심각해질 겁니다

.

멀쩡해 보이는 사진 편집앱이 여러분의 신혼 여행 사진을 인질로 삼을 수 있단 이야기죠.

솔직히 말씀 드리자면, 제 지인들에게는 아이폰을 쓰라고 권장합니다.

경험, 디자인, 그런것 다 필요 없고, 개인정보 하나 때문에요.

특히 국내의 안드로이드폰은 국가 수준의 MDM논란 역시 아직 뭐하나 밝혀진게 없습니다.

아이폰이라고 해서 완전히 안심할 수 있는 것도 아닙니다.

예전의 아이폰이 웹사이트에 접속해서 PDF 파일 하나 여는 것 만으로

탈옥이 되었던 점을 떠올릴 필요가 있습니다.

그 해커가 도덕적으로 올발랐던 것에 대해 감사해야 할 따름이죠.

iOS8.3의 경우, 아직까지는 샌드박스 우회나 탈옥이 가능하지 않아 당분간은 안심이기는 하지만,

스파이웨어에 감염된 PC에 USB로 아이폰을 연결하면,

자동으로 탈옥이 되고, 스파이 웨어가 설치되었던 전례가 있습니다.

(좀 옜날일이긴 합니다만)

일단 탈옥이 되면, 애플이 서명하지 않은 앱도 실행이 되고,

한 앱이 다른 앱의 공간 및 기기 전체의 내용을 조작할 수 있게 됩니다.

이렇게 되면 이미 게임은 끝입니다.

물론 이미 탈옥하신 분들은, 항상 긴장하셔야 합니다.

트윅 하나 설치하실때마다, 크랙된  IPA하나 설치하실 때 마다 도박 하시는 겁니다.

반드시 소스가 공개된 것만 직접 빌드해서 까는게 좋겠지만.

무리시겠죠....

정리

어쩌다 보니 너무 암울한 이야기만 늘어놨네요.

1. 일단 감염되면 복호화는 가망이 없다. 바이러스를 삭제하면 오히려 복원 가능성이 줄어든다. 입금이 유일한 희망이니, 가치 판단을 잘 내려야 한다.

2. 이번 사태의 공격양상은 아무리 봐도 테스트 공격처럼 보인다, 전사적 공격이 진행될 가능성이 높다.

3. 국내 해킹 범죄의 트렌드가 랜섬웨어로 옮아갈 우려가 있다.

4. 인질이 다원화될 것이며, 안드로이드가 첫 표적이 될 확률이 높다.