728x90

요즘 해커의 랜섬웨어 공격에 당한 이랜드가 이슈다. 이 일로 이랜드는 당시 NC 백화점 등 오프라인 점포의 50%가량이 휴점 또는 부분 영업을 하는 상황까지 내몰렸다. 게다가 해커들은 고객 카드정보 200만 건을 다크웹에 공개하겠다고 협박하며 이랜드 측에 약 4천만 달러의 암호화폐를 요구하고 있다. 참, 어이없는 일이다. 우리나라에서 손에 꼽는 기업이 컴퓨터 네트워크 보안이 뚫려 해커에게 당했으니 말이다. 

 

하지만, 마냥 남 일 같지만은 않다. 나역시도 이미 2018년 gandcrab(갠드크랩)이라는 랜섬웨어에 제대로 당했기 때문이다. 그리고, 당시까지 쌓아왔던 십수 년의 모든 데이터가 암호화되었다. 즉, 인생 자체가 순삭 당한 것이다. 결과적으로 현재까지도 랜섬웨어로 인해 암호화된 파일들은 복호화하지 못했다. 

 

 

gandcrab 랜섬웨어 이메일

 

내가 랜섬웨어에 당할지는 정말 상상조차 하지 못했다. 그래서, 지금 생각하면 그냥 헛웃음만 나온다.

 

이야기 하자면 이렇다. 내가 컨설팅을 하고 있는 회사 대표가 직원 충원을 위해 며칠 전 잡코리아에 이력서를 등록했고, 당일 오후 이메일로 한통의 이력서를 받았다. 이메일에는 열심히 일해보고 싶으니 이력서를 꼭 검토해달라며, 짧지만 꾀나 마음에 드는 공손한 문장으로 간단한 본인 소개를 했다. 그래서 대표는 이 사람이 궁금해져 이력서 파일을 즉시 보고 싶어 했으나 외부에 있는 관계로 스마트폰으로는 압축된 첨부파일을 열어볼 수 없었다.



당시 나는 당일 새벽까지 일하고 늦잠을 자고 있었다. 그때 대표에게 전화가 온것이다. 이력서를 하나 받았는데, 외부라서 열 수가 없으니 이력서 검토를 좀 해달라는 전화였다. 나는 알았다고 대답을 하고 바로 노트북을 켰다. 이때 당연히 잠이 덜 깨 눈은 반쯤 감겨있었다.

 

잠시 후 대표에게 이메일을 전달 받았고, 말한 대로 압축파일이 있었다. 나는 아무 생각 없이 압축을 풀었다. 그리고 이력서라고 되어있는 문서(문서로 착각한 랜섬웨어 실행파일)를 더블클릭했다

 

 

이력서로 위장한 gandcrab 예시

gandcrab 랜섬웨어 감염

이상했다. 파일을 실행했는데 문서가 열리지 않으니 말이다. 다시한번 실행해도 마찬가지. 그런데, 이상한 건 하드가 돌아가는 소리는 들렸다. (모든 파일이 암호화되는 중이다) 당시 외장하드까지 사용 중이었는데 외장 하드에서도 하드 돌아가는 소리나 났다.

 

아무것도 하는게 없는데 왜 소리가 날까 의아해하던 순간 아차 싶었다. 내가 실행시킨 파일이 MS 워드가 아니었던 거다. 그 파일이 이제야 눈에 들어왔다. 그리고, 이력서를 보냈다는 지원자의 이메일 주소를 확인해보니 생전 보지 못한 이메일 주소다. 

 

순간 나는 더 생각할 것도 없이 외장하드를 케이블을 뽑고 노트북을 강제 종료시켰다. 솔직히 그 순간에 내가 당한게 랜섬웨어 인지도 몰랐다. 그냥 흔한 바이러스 정도라고만 생각했을 뿐이다. V3나 알약 같은 백신으로 쉽게 치료가 가능한 바이러스 말이다.

 

 

파일이 암호화되며 CRAB 확장자가 붙는다.

gandcrab 랜섬웨어 해커의 요구

 

오산이었다. 이건 V3나 알약으로 복구할 수 있는 수준이 아니었다.



노트북의 모든 폴더마다 CRAB-DECRYPT를 하나씩 만들어 놓고, 모든 파일의 확장자 뒤에 추가로 CRAB 확장자를 더해 암호화시켰다. 또 외장하드는 케이블을 뽑기 직전까지 약 80% 정도가 암호화 되었는데, 정말 재수 없게도 중요한 파일들은 하나도 살려내지 못했다. 십수 년의 사진, 영상, 포트폴리오, 등등 모든 데이터와 추억이 내 인생에서 삭제된 거다. 막막하고, 황당해서 한참을 움직이지 못했다.

 

 

CRAB-DECRYPT

CRAB-DECRYPT 파일은 메모장으로 열 수 있는 텍스트 문서다. 내가 당한 랜섬웨어의 이름이 적혀있다. GANDCRAB V2.1. 그리고, 자신들이 알려주는 링크에 접속하라는 설명이 되어있다.

 

당시 나는 이게 무슨 상황인지 몰라 데스크탑을 이용해 한참을 검색해 본 후에야 랜섬웨어에 대해 알게 되었고, 폴더마다 생성되어 있는 위의 파일이 매우 중요하다는 걸 알게 되었다. 이 파일은 그들과 합의 후 복호화를 하기 위해서는 절대로 먼저 삭제해선는 안 되는 파일이다. 

 

뭐, 어쨋든 도대체 링크에 뭐가 있나 궁금해서 접속을 해봤다. 대신 또 랜섬웨어에 감열 될지 몰라 즉시 컴퓨터를 끌 수 있는 자세를 취했다.

 

사이트에 접속하니 날짜가 카운트 되고 있었다. 대략 어렴풋한 기억으로 5일 정도의 시간이 남았었고, 자신들에게 암호화폐로 2,000달러를 보내면 복호화시킬 수 있는 암호키를 준다는 내용이었다. 또, 제한 시간이 다 지나면 자신들도 복구를 시킬 수 없다는 내용도 있었다. 고민을 안 할 수가 없는 상황이었다. 

 

 

출처 : 한국랜섬웨침해대응센터

gandcrab 랜섬웨어 복구/복호화

내가 당한 gandcrab V2.1은 2년반의 시간이 지났지만 아직 복호화가 불가능하다. 혹시라도 복호화 툴이 나올까 봐 암호화된 모든 파일을 일단 백업해놓긴 했지만 흘러가는 상황으로 봐선 어쩌면 영원히 복구가 되긴 힘들 것 같다. 반면에 gandcrab V1, V4, V5, V5.x ~ V5.2 등은 복호화 툴이 개발되어 배포 중이다. 부러울 뿐이다.



랜섬웨어에 당하면 선택지가 많지않다. 암호화된 파일들을 포기하고 나처럼 인생 순삭을 택하던가, 해커에게 돈을 지불하고 암호키를 받던가 해야 한다. 하지만 후자는 또 장담을 할 수는 없다. 돈만 건네고 암호키를 못 받을 수도 있단 얘기다. 그리고 마지막으로 언제 나올지 모르는 복호화 툴을 기다리는 방법도 있다.

 

 

의심스러운 랜섬웨어 커넥션 

랜섬웨어에 당한 사람들 중 나와 비슷한 케이스가 상당히 많다. 직원채용 사이트를 통해 이력서를 받은 후 랜섬웨어에 당하거나 저작권 위반 관련해서 증거를 수집했다며 압축파일을 보내 열어보게 만드는 식이다. 그런데 여기서 중요한 건 이메일 내용인데, 여러 내용들을 보면 절대 외국인이 쓸 수 있는 게 아니다. 조선족의 느낌도 안 난다. 그렇다면 결론은 하나다. 한국인이 개입한 거다.

 

랜섬웨어 해커 중 한국인이 있거나 그들의 하청을 받아 랜섬웨어를 퍼트리는 프리랜서들이 있다는 이야기다. 듣기로는 후자 쪽이 더욱 그럴싸하다. 그들은 랜섬웨어에 당한 피해자가 합의금을 내면 일정액을 쉐어 받는다고 한다. 그래서, 이메일 수집이 쉬운 채용사이트를 통해 무작위로 랜섬웨어를 퍼트리는 것이다. 

 

 

랜섬웨어에 당하지 않으려면

랜섬웨어는 주로 이메일과 첨부파일을 이용해 파일들을 암호화시키기 때문에 출처가 불분명한 이메일은 절대 열어보지 않는 것이 좋고, 중요한 파일들은 항상 주기적으로 외장하드를 이용해 백업해 두는 것이 좋다.

 

참고로 나의 경우 하나의 외장하드에 파티션을 나눠 작업도 하고 백업도 하는데 이런 방식은 상당히 위험하다. 랜섬웨어에 외장하드 전체가 암호화될 수 있기 때문이다. 그러니 순수 백업용 외장하드를 별도로 만드는 것이 좋다. 

 

◈ 함께 읽어볼 만한 포스팅

바르는 미녹시딜 효과 없다면 필독! | 탈모약 MINOXIDIL

차전자피 가루 효능 100% 받는 중 | 한달 복용 리얼 솔직후기

윈도우10 특수문자, 이모지, 이모티콘 단축키 입력 방법

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기