$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

Crysis 랜섬웨어의 복호화 키 유출로 온전한 파일로 복구 가능

Crysis ransomware decryption keys posted online

2016-11-16

일명 랜섬웨어로 불리우는 신종 사이버해킹 유형은 사용자의 디지털기기를 악성 바이러스나 말웨어로 감염시킨 뒤, 사용자 기기에 저장되어있는 각종 정보 (사진, 이미지, 폴더, 문서 등)를 암호화시켜 해커가 제공한 열쇠가 아닌 이상 복호화가 불가능하게 만드는 기법으로 사용자들의 각별한 주의가 요구되는 해킹유형이라 할 수 있겠다.

최근 랜섬웨어 중 맹위를 떨치고 있는 Crysis 랜섬웨어의 암호화를 해제할 수 있는 복호화 키가 익명의 제보자에 의해 온라인 상에 노출되는 일이 발생하였고, 보안솔루션 제공업체인 Kaspersky社는 자신들이 제공하고 있는 복호화 솔루션 패키지인 Rakhni에 해당 키를 접목시켰다는 발표를 하여 관련 내용을 상세히 조사해보고자 한다.
[출처: https://support.kaspersky.com/us/10556#block1]

익명의 제보자를 통해 밝혀진 복호화키를 발빠르게 도입한 Kaspersky社의 조치 덕분에 Crysis 랜섬웨어 버전2와 버전3에 감염된 피해자 (기업/조직/개인 등)들은 현재 자신들의 묶여버린 파일들을 복구할 수 있는 상황인 것으로 나타났다.

암호를 해제할 수 있는 핵심 키는 BleepingComputing.com 웹사이트의 포럼 메뉴에 한밤중에 포스팅되었으며, 익명의 사용자는 해당 포스팅에 텍스트 공유사이트인 Pastebin의 링크를 공유하여 C언어로 작성된 헤더파일을 통해 마스터 복호화키를 업로드 하였고 어떤 방식으로 활용해 랜섬웨어를 복호화할 수 있는지를 자세히 설명해놓은 것으로 나타났다.

현재로서는 왜 복호화 키가 온라인 상에 유출되었는지에 대한 이유가 명확하지 않은 상황이지만, 보안전문가들이 추측하기론 랜섬웨어의 제작자 스스로가 복호화 키를 공개하였으며, 그 원인에는 전 세계적 법 집행기구들에서 자신을 단속하려는 움직임이 활발하게 시도되고 있는 상황을 감안한 심리적 압박 때문이었을 것이라고 한다.

최초 복호화 키를 유출한 장본인이 누군지에 대한 신원확인은 알려지지 않은 상황이지만, 랜섬웨어에 대한 상세한 지식을 비롯해 마스터키의 구조에 대한 해박한 풀이를 고려해보았을 때 랜섬웨어의 제작자나 함께 참여했던 개발자들 중 한명일 것으로 추측되고 있는 상황이다. 이에 어떠한 이유로 해당 복호화 키가 유포되었는지 알려지지 않았지만 랜섬웨어의 광범위한 감염으로 인한 단속의 압박이 가중된 것이 주요 원인으로 보이며, 보안솔루션업체 또한 발빠르게 유출된 키가 적법한 용도가 맞음을 확인해주었기에 신속한 초기대응이 가능했던 것으로 보인다.

Trend Micro社에 의하면, Crysis 랜섬웨어는 최초 지난 2월에 발견되었으며, 올 여름을 기점으로 광범위하게 퍼져나가 무수히 많은 개인 및 기업의 디지털기기를 무력화시켜왔다고 한다. 실행파일이 첨부된 이메일을 통해 사용자의 컴퓨터로 접속하는 방식으로 악의적인 파일들을 설치하는 것은 물론이고, 임의로 조작된 가쭈 URL이나 웹사이트로 유입시키기 위한 스팸 이메일을 유포시키는 방식도 함께 사용해왔다고 한다.

또한 말웨어가 온라인 상에서 유포되면서 유해하지 않은 다양한 정상적인 프로그램들이나 어플리케이션을 설치하도록 위장한 네트워크도 활용되었고, 암호화 기법에 있어서는 RSA방식과 AES 암호화 알고리즘을 혼용하여 활용하였기에 보다 많은 피해자들이 생겨난 것으로 보고 있다.

랜섬웨어가 Windows 레지스트리를 건드리면서 새로운 엔티티를 만들어내어 제작자인 해커가 요구하는 마스터 키를 알고 있지 않은 이상 해결방법이 없는 만큼, 개인 및 기업의 사용자들은 의심스러운 이메일이나 파일에 대해 보다 세심한 주의를 기울여야 할 것으로 예상되는 시점이라 하겠다.

관련 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로