공부방/보안소식

랜섬웨어 예방법과 데이터 복구 방법

박영길 2014. 8. 2. 12:11

랜섬웨어 예방법과 데이터 복구 방법


    랜섬웨어는 PC에 저장된 데이터를 암호화한 후 복호화키를 대가로 금전을 요구하는 악성코드이다.
    랜섬웨어 자체는 오래 전부터 발견됐지만
    최근 이러한 유형의 악성코드 유포가 급증하면서 피해가 발생하고 있다.
    랜섬웨어에 대한 예방법과 랜섬웨어에 감염됐을 경우
    암호화된 데이터를 복구할 수 있는 방법을 알아보자.

    최근 발견되고 있는 랜섬웨어는 복잡한 암호화 기법을 사용하고 있어
    복호화 키를 사용하지 않으면 파일을 원래대로 복원하는 것이 불가능한 경우가 많다.
    복호화 키를 얻을 수 있는 유일한 방법은 해커에게 대가를 지불하는 것이다.
    문제는 악성코드 유포 초기라면 해커와 연락이 닿아 손을 쓸 수 있지만
    대부분은 짧은 시간 안에 차단되고 대가를 지불해도 복원해준다는 보장이 없다는 점이다.

    따라서 랜섬웨어에 대한 예방 방법은 기본 보안 수칙을 생활화하는 것이다.
    PC의 모든 소프트웨어를 최신 상태로 유지하고 자동 업데이트 기능을 활성화하며
    주기적인 백신 검사와 백신을 업데이트한다.
    대부분의 악성코드가 이메일이나 안전하지 않은 웹사이트를 통해 감염되는 만큼
    랜섬웨어도 이와 무관하지 않다.
    안전하지 않은 웹사이트에는 접속하지 않으며 스팸메일은 열지 말고 바로 삭제해야 한다.
    이와 함께 중요한 파일은 외부 저장장치에 백업해둔다면
    랜섬웨어에 감염되더라도 파일이 훼손되는 것은 막을 수 있다.

    데이터 복구 프로그램으로 데이터 복원하기

    랜섬웨어에 감염됐더라도 해커에게 대가를 지불하지 않고도 복원할 수 있는 방법이 있다.
    악성코드가 하드디스크에 저장돼 있는 원본을 암호화시키는 방식은
    악성코드 변형에 따라 차이가 있다.
    이중 암호화 과정에서 원본 데이터를 덮어쓰지 않고
    암호화된 파일을 별도로 생성한 후 원본을 삭제하는 방식인 경우
    원본 데이터의 흔적이 하드디스크에 남아있을 수 있다.
    이 경우 데이터 복구 프로그램을 이용해 데이터를 복구할 수 있다.

    [그림 1]은 랜섬웨어 감염 과정에서 발생한 파일의 암호화 과정을
    파일몬(filemon) 프로그램을 이용해 모니터링하고(좌)
    감염된 시스템을 데이터 복구 프로그램을 이용해 검사한 결과다.
    암호화 과정에서 임시 파일을 생성했음을 짐작할 수 있고
    복구 프로그램이 문서 형태의 파일을 찾아낸 것을 확인할 수 있다(우).
    실제 복구 프로그램이 복원한 파일을 오피스 프로그램으로 열었을 때 문제가 발생하지 않았다.


    [그림 1] 파일몬 프로그램을 통한 모니터링(좌), 복구 프로그램을 이용한 훼손된 데이터 복구 과정(우)

    최근 발견되고 있는 랜섬웨어 변형은
    [그림 1]과 같이 복구 프로그램을 이용해 데이터를 복구하는 경우가 많다.
    혹시라도 랜섬웨어에 감염됐다면 이와 같은 복구 방법을 사용해보는 것도 괜찮을 듯 하다.

    복구 프로그램을 이용할 때 주의해야 할 점은
    복구해야 할 데이터가 있는 하드디스크에 소프트웨어를 설치하거나 파일을 복사하는 등
    디스크에 데이터가 기록되는 행위는 피해야 한다.
    파일 프로그램은 파일 삭제 후 하드디스크에 남아 있는 파일의 흔적을 재조합해주는 방식으로
    지워진 데이터를 복원해준다.
    이때 새로운 데이터가 디스크에 기록되는 가정하에
    이전 데이터가 저장된 영역에 데이터를 덮어쓸 가능성이 높기 때문에
    이 경우 복원되지 않을 수도 있다.

    따라서 복원 가능성을 높이려면 되도록 하드디스크를 사용하지 않아야 한다.
    복원 과정에서는 반드시 하드디스크를 제거하고 다른 시스템에 저장한 후
    복원 프로그램을 사용해야 한다.
    중요한 데이터가 있는 경우 데이터 복구 전문 업체에 의뢰할 것을 권장한다.

    사용자 파일 백업 및 복원 기능 이용하기

    복구 프로그램 외에도 윈도 7 등의 운영체제에서 제공하는
    '사용자 파일 백업 및 복원 기능'을 이용해 감염 전의 파일을 불러올 수 있다.
    윈도의 사용자 파일 백업 기능을 이용하면
    악성코드에 감염되더라도 복원 지점을 설정해 두었거나 사용자 파일 백업을 해두었다면
    그 시점으로 돌아가 복구할 수 있다.

    이 때 사용자가 주의해야 할 점은
    파일을 백업할 때 반드시 윈도가 설치된 로컬 디스크가 아닌, 다른 저장매체에 저장해야
    백업이 가능하다.
    로컬 디스크는 백업 파일이 저장될 경로에 표시되지 않으며
    로컬 디스크에서 백업할 파일이나 폴더를 사용자가 지정할 수 있다.

    파일 복원을 진행하면 사용자가 백업 설정한 파일을 원본 파일에 덮어씌워 복원하거나
    기존 경로 외에 다른 경로에 저장할 수 있다.


    [그림 2] 사용자 파일 백업(좌), 파일복원(우)

    [그림 3]과 같이
    지정된 경로에 백업했던 파일이 복원되고 정상적으로 실행되는 것을 확인할 수 있다.


    [그림 3] 복원 후 파일
저작자표시 비영리 변경금지

'공부방 > 보안소식' 카테고리의 다른 글

악성인 듯 악성 아닌, 악성 같은 PUP~  (0) 2014.09.20
내 PC를 지키는 6가지 보안 패치 가이드  (0) 2014.09.07
느려진 PC 빠르게 사용하는 방법  (0) 2014.07.26
스마트폰 보안 수칙, '이것'만은 지키자!  (0) 2014.07.18
즐거운 휴가철, 잊지 말아야 할 보안 수칙은?  (0) 2014.07.11

'공부방/보안소식'의 다른글

  • 현재글랜섬웨어 예방법과 데이터 복구 방법

관련글

티스토리툴바