그리고 최근 갠드크랩(Gandcrab)이라는 랜섬웨어가 유행하는가 본데, 특히 인터넷 접속 만으로도 감염된다는 어처구니 없는 감염 경로 때문에 좀 자료를 찾아보게 되었습니다.
인터넷 접속만으로 감염될 수 있는 드라이브 바이 다운로드(Drive-By-Downloads) 유포 방식으로 무장한 ‘갠드크랩(GandCrab)’ 랜섬웨어가 활동을 재개한 것으로 드러났다. - 인터넷 접속만으로 감염! 갠드크랩 랜섬웨어 더 강해졌다 (보안뉴스)문제의 기사입니다. 그리고 이와 비슷한 기사들은 널려 있습니다.
맛있는 게를 악성코드 이름으로 쓰다니 용서 할 수 없다! 망해라 크래커!
인터넷 접속 만으로 감염된다?
문제는 바로 이 부분입니다. 인터넷 접속 만으로 감염된다는 이야기는 그냥 웹 서핑만 해도 감염되어서 내 컴퓨터가 망가진다는 의미로 들리기 때문입니다.정말 이러면 난리겠지요? 굉장히 위험해 보입니다. OS도 안가리고 브라우저도 안가리고 아주 그냥 인터넷 접근 금지령을 내려야 할 정도의 심각한 문제 아닌가요?
과연 이 이해가 맞는 걸까요?
이걸 확인하기 위해선 위의 드라이브 바이 다운로드(Drive by downloads) 라는 감염 방식을 이해해야 할 것 같습니다.
드라이브 바이 다운로드(Drive by Download)는 사용자가 웹사이트에 방문하는 자체만으로도 사용자 모르게 악성코드가 다운로드되는 사이버 공격 방법 가운데 하나입니다. - ITWorld 용어풀이 | 드라이브 바이 다운로드방문 자체만으로 감염이 된다니 정말 위험해 보입니다.
하지만 이 해석은 개발자라거나 보안 지식이 좀 있다면 이해 할 수 없는 말입니다. 별도의 보안 결함 없이는 불가능한 감염 방식이기 때문입니다.
사실 위의 기사에도 아래와 같은 문구가 있습니다.
방문자의 PC에 설치된 운영체제 웹 브라우저 ... 등에서 패치하지 않은 보안 취약점을 공격해 방문자의 PC에 침투, 악성코드를 유포합니다. - ITWorld 용어풀이 | 드라이브 바이 다운로드자 드디어 단서가 나왔습니다. 보안 취약점 입니다. 역시나 접속만 한다고 감염되는 것은 아니었습니다.
해설
이 갠드크랩이 사용하는 드라이브 바이 다운로드 방식은 굉장히 단순한 방법입니다.- 우선 해커는 악성코드를 배포할 사이트를 준비합니다. 혹은 특정 사이트를 해킹해서 악성코드를 배포할 수 있게 만듭니다.
- 그 다음 해커는 특정 사용자가 이 사이트로 접속하도록 유도합니다. 대표적으로 .lnk 같은 웹사이트 바로가기 파일을 메일에 첨부파일로 넣어서 불특정 사용자에게 보냅니다.
- 사용자는 이 바로가기 링크나 검색을 통해 감염된 사이트에 접속하게 됩니다.
- 감염된 사이트는 웹브라우저나 플래시 등의 보안구멍 이용해 사용자에 PC에 랜섬웨어 악성코드를 전송하고 실행 시킵니다.
- 이제 사용자의 컴퓨터 안의 파일들은 암호화 되어서 열리지 않는 인질이 되었습니다.
쉽게 말해서 무조건 웹브라우저로 인터넷에 접속한다고 감염되는 것이 아니라, 보안패치를 하지 않은 경우에 감염이 됩니다.
따라서 보안패치를 제대로 해 놨다면 대체로 걱정할 필요는 없으며 혹시 걱정된다면 아래 기사링크에서 킬스위치(랜섬웨어가 작동하지 않도록 하는 특정 조건)를 받아 설치하거나 직접 만들어 놓으면 최소한 이 갠드크랩에서는 안전해 질 수 있게 됩니다.
웹사이트 접속만으로 랜섬웨어 감염…안랩, 대응방안 내놔 (아이뉴스24)물론 변종이 나타나서 킬스위치가 무력화 될 수도 있고, 새로운 보안 결함이 발견되어서 다른 방식으로 악성코드가 침투할 가능성은 충분히 있습니다.
사용자 입장에서의 최선은 백신 설치와 함께 보안패치를 빠짐 없이 하는 것이 더 중요합니다. 물론 백신도 도움은 됩니다만 보안 패치 없이는 백신도 막는 것에 한계가 있기 때문입니다. OS 패치 뿐만 아니라 웹브라우저 등도 최신 버전을 사용하고 플래시 등의 플러그인은 가급적 안쓰는 것이 좋습니다.
...
솔직히 말해서 이런 식으로 사실관계를 왜곡해서 기사를 작성하는 것은 좀 위험한 것 같습니다. 사용자에게 불안만 가중시키는 것 같으니깐요. 트래픽이 곧 수익이 되는 언론사 입장이 이해가 안되는 건 아니지만 이런 건 좀 그렇군요.
