랜섬웨어 감염되었다면?…“긴급 제거, 복구 비법”

[애플경제 이지향 기자] 부득이 랜섬웨어에 감염되었다면 피해를 최소화하고 파일을 복구하기 위해 신속하고 체계적인 조치를 취하는 것이 중요하다. 사이버보안 전문가들은 여러 대처법과 처방을 제시하고 있다. 사이버시큐리티 인사이더, 해커리드, 소포스, 더 해커뉴스 등 보안매체들도 다양한 대처법을 제시하고 있다.

이를 종합하면 대략 7~8가지 단계의 방법으로 요약된다.

우선 가장 먼저 할 일은 ‘감염된 장치나 디바이스의 격리’=컴퓨터가 만약 랜섬웨어에 감염된 것으로 의심되는 즉시 인터넷 연결을 끊어야 한다. 이렇게 하면 랜섬웨어가 네트워크의 다른 장치로 확산되는 것을 방지하고, 해커의 서버와 통신하는 것을 차단할 수 있다. 랜섬웨어가 파일을 암호화하는 경우, 공유 폴더나 클라우드 서비스로 확산될 수 있으므로 장치를 격리하는 것이 중요하다.

이를 통해 USB 드라이브, 외장 하드 드라이브 등과의 연결을 해제, 감염을 방지한다. 또한 랜섬웨어가 공격자와 추가 명령을 주고받지 못하도록 와이파이나 이더넷 연결을 해제해야 한다.

랜섬웨어 식별=그 과정에서 랜섬웨어 변종을 식별하는 것도 중요하다. 랜섬웨어 감염의 일반적인 징후는 보통 ▲랜섬웨어 메시지나, 화면에 지불 요청(흔히 암호화폐 요구) 문구가 뜬다. 또 ▲locky, .crypt 또는 .cerber와 같은 특이한 확장자를 가진 암호화된 파일이 보인다. 이와 함께 ▲파일을 정상적으로 열거나 데이터에 접근할 수 없다.

ID Ransomware와 같은 온라인 리소스를 사용, 랜섬웨어 메시지 샘플이나 암호화된 파일 샘플을 업로드할 수 있다. 이를 통해 랜섬웨어 변종을 식별하고 알려진 복호화 도구가 있는지 여부와 같은 공격에 대한 세부 정보를 얻을 수 있다.

안전 모드로 부팅=랜섬웨어의 영향을 최소화하고 백그라운드에서 실행되는 것을 방지하려면 컴퓨터를 안전 모드로 다시 시작해야 한다. 안전 모드에서는 필수 시스템 프로세스만 실행되므로 많은 랜섬웨어 프로그램이 활성화되지 않는 경우가 많다.

윈도우에서 안전 모드로 부팅하는 방법은 우선 컴퓨터를 다시 시작하는 것이다. 그런 다음 F8(이전 윈도우 버전의 경우) 키나, Shift + F8을 눌러 고급 부팅 옵션으로 들어간다. 이때 ‘도구’ 다운로드를 위한 인터넷 액세스를 허용하려면 네트워킹 사용 안전 모드를 선택하면 된다.

Windows 10이나 11의 경우는 Shift 키를 누른 상태에서 시작 메뉴에서 다시 시작을 선택한다. 그런 다음 문제 해결 > 고급 옵션 > 시작 설정으로 이동한 다음 다시 ‘시작’을 클릭한다. 시스템이 다시 시작되면 4 또는 F4를 눌러 안전 모드로 부팅한다.

랜섬웨어 및 바이러스 백신 검사 프로그램 실행=시스템이 안전 모드로 전환되면 신뢰할 수 있는 랜섬웨어 및 바이러스 백신 도구를 실행하여 악성 파일을 검사하고 제거할 수 있다. 가장 신뢰할 수 있는 도구로는 우선 ‘Malwarebytes Anti-Malware’가 있다. 이는 랜섬웨어를 탐지하고 제거할 수 있는 강력한 검사 프로그램이다. 또 랜섬웨어나 기타 유형의 맬웨어를 식별하는 클라우드 기반 검사 프로그램인 ‘HitmanPro’도 있다. 윈도우에 내장된 보안 도구 ‘Windows Defender’도 많이 선택한다. 이는 전용 랜섬웨어 도구만큼 강력하진 않지만 일부 위협을 탐지할 수 있다.

이 밖에 캐스퍼스키(Kaspersky)사의 ‘Kaspersky Ransomware Decryptor’도 있다. 이를 통해 랜섬웨어 변종을 처리하게 되면, 캐스퍼스키사가 특정 랜섬웨어 유형에 대한 무료 복호화 도구를 제공한다. 다만 “랜섬웨어는 빠르게 진화하고 있으므로 이러한 도구를 실행하기 전에 최신 업데이트를 다운로드해야 한다”는 주문이다.

복호화 도구 사용(가능한 경우)=일부 랜섬웨어 변종에는 알려진 복호화 도구가 있어 몸값을 지불하지 않고도 파일을 복구할 수 있다. ‘No More Ransom’과 같은 웹사이트는 WannaCry, Cerber, Locky 등 다양한 랜섬웨어 변종에 대한 무료 복호화 도구를 제공한다.

No More Ransom 웹사이트를 방문, 랜섬웨어 이름을 입력하거나 암호화된 파일을 업로드함으로써(가능한 경우) 사용 가능한 복호화 도구를 확인하면 된다. 복호화 도구를 사용할 수 있는 경우 지침에 따라 파일을 복호화해도 된다. 다만 모든 랜섬웨어에 복호화 도구가 있는 것은 아니다. 이런 경우 데이터를 복구할 수 있는 유일한 방법은 백업이나 전문 서비스를 이용하는 것이다.

랜섬웨어 파일 수동 삭제(고급)=자동화된 도구로 랜섬웨어를 제거할 수 없는 경우 악성 파일을 수동으로 삭제해야 할 경우도 있다. 이때 만약 잘못된 파일을 삭제하면 시스템이 불안정해질 수 있으므로 이를 위해선 숙련된 고급 지식이 필요하다. 일단 방법은 우선 ‘작업 관리자’를 연다. Ctrl + Shift + Esc 키를 누르면 된다. 그런 다음 백그라운드에서 실행 중인, 어울리지 않거나 생소한 이름과 같은 의심스러운 프로세스를 확인, 종료한다.

다시 시스템에서 랜섬웨어 관련 파일을 검색한다. 여기에는 랜섬웨어 변종과 관련된 임의의 파일 이름이나 확장자(예: .locky, .cerber)가 포함될 수 있다. 랜섬웨어에 포함된 것으로 확인되는 모든 파일을 삭제한다.

파일 복원=백업이 있다면 즉시 파일을 복원한다. 그러나 랜섬웨어가 시스템에서 완전히 제거되었는지 확인하기 전까지는 백업에서 파일을 복원해선 안 된다. 몇 가지 복구 옵션을 보면, 먼저 ‘클라우드 백업에서 복원’하는 방법이 있다. Google Drive, OneDrive 또는 Dropbox 등의 클라우드 서비스에 파일을 백업한 경우 암호화되지 않은 파일 버전을 복원할 수 있다.

다음으론 ‘윈도우 파일 히스토리’를 사용할 수도 있다. 이 경우는 이전 버전의 파일을 복구할 수 있다. 또한 ‘백업 드라이브에서 복원’하기도 한다. 이는 외장 하드 드라이브에 정기적으로 데이터를 백업, 전체 시스템 정리를 수행한 후 데이터를 복원하는 방법이다.

운영 체제 재설치(필요한 경우)=랜섬웨어 감염이 심각해서 다른 방법으로 제거할 수 없는 경우 운영 체제를 다시 설치해야 할 수도 있다. 이때 재설치하면 하드 드라이브의 모든 내용이 삭제되므로 진행하기 전에 중요한 파일의 백업본을 미리 확보해둬야 한다.

윈도우 운영체제 다시 설치하려면 ▲ 윈도우 설치 USB 또는 DVD를 사용하고, ▲설치 미디어에서 부팅한 후 화면의 지침을 따른다. 또 ▲ ‘새로 설치 수행’ 옵션을 선택한다. 이 경우 드라이브의 모든 데이터가 삭제된다. 이런 방식으로 ▲ OS를 다시 설치한 후에는 모든 업데이트와 보안 패치를 즉시 설치해야 한다.

이런 방식으로 랜섬웨어를 성공적으로 제거한 후에는 향후 공격으로부터 자신을 보호하기 위한 조치를 취하는 것이 중요합니다. 대표적으로 ▲ 보안 소프트웨어 설치 및 업데이트, ▲방화벽 활성화, ▲정기적인 파일 백업, ▲교육, ▲최신 상태의 SW 유지, ▲운영 체제, 브라우저, 애플리케이션에 패치 적용 등이다.