이번주 화요일 저녁에 메그니베르 랜섬웨어(Magniber Ransomware)에 걸렸습니다. 출처는 해외 무료 이미지 사이트입에 접속한 것입니다. N사의 공식 블로그에 저작권에서 자유로운 고퀄리티 무료 이미지 사이트 소개글을 보고 해당 사이트에 접속하고 사진 1장을 캡쳐한 순간 (로그인 없이 사진을 캡쳐) 이상한 인터넷창이 떴습니다. (국내에도 광고를 위해서 언더 팝업을 띄우는 경우가 많아서 습관적으로 X를 눌렀어요.)

그 뒤에 볼 일을 보는데 계속 이상한 파일이 바탕화면에 생겼습니다. 엑셀, 이미지, 동영상, 한글 파일의 확장자가 nijtenay로 바뀌고 있었습니다. 그리고 바탕화면에 README 메모장 파일이 생겼습니다. '아 뭔가 잘못됐다.' 생각하고 일단 바로 컴퓨터를 껐습니다. (하지만 이미 C,D 드라이브의 파일들 중 일부가 변형된 상태였습니다.)

＊ 랜섬웨어(Ransomware)

인터넷을 통해 사용자 PC의 파일을 사용하지 못하게 만드는 보안 공격입니다. 이미 2005년부터 존재했고 비트코인이 주목을 받기 시작한 2013년부터 사용자의 PC 내부에 이미지, 영상, 문서 파일을 암호화시키고 암호를 풀려면 돈을 내라는 방식으로 변형됐다고 합니다.  제가 듣기로는 주로 러시아, 중국, 북한 쪽의 해커가 활동한다고 알고 있습니다.

제 경우에는 단순히 사이트에 접속하여 이미지를 캡쳐했을뿐인데 메그니베르 랜섬웨어(Magniber Ransomware)에 감염되었습니다. 지난 6월에 파일리스 형태로 업그레이드되어 유포중이라는 기사를 보니 이해가 되는 부분입니다. (아마 해외 사이트에 접속해서 캡쳐를 받을때 이미지가 저장되는 경로로 같이 들어온것 같습니다.)

제 경우에는 다음과 같은 현상을 보였습니다.

▲ 이미지, 동영상, 문서파일 등에 확장자가 nijtenay로 변경된 모습입니다. 그리고 폴더별로 변환 후 README 메모장 파일이 있습니다.

README 메모장 파일 내용

첫 문구가 'ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!' 이렇게 시작하더군요. 대략 번역하면 '당신이 갖고 있는 중요한 문서나 이미지 파일은 모두 손상됐다.' 입니다.

이 문구 뒤에 '아직 손상되지 않았으니 복구를 하고 싶으면 특정 웹페이지에 접속해서 돈을 지불하라. 이 페이지는 특정 브라우저로만 접속해야된다.'고 쓰여있습니다.

저는 접속하지 않고 바로 포맷을 진행했으나 다른 분들은 들어가서 확인한것 같습니다. 그들의 요구내용을 알아봅니다.

▲ 실제로 메모장에서 명시한 주소로 특정 브라우저를 이용해서 접속하면 다음과 같은 화면을 만날 수 있답니다. '5일 안에 지불하면 특별가로 비트코인 0.35만 받아주겠다. 하지만 5일 뒤에 지불하면 비트코인 0.7을 받겠다. 잘 생각해서 빨리 돈 내고 복구해라.' 대략 이런 뜻입니다.

그런데 문제가 있죠.

1. 손상된 파일이 3 ~400만원의 가치가 있는가?

2. 비트코인은 어떻게 지불해야되나?

3. 돈을 준다고 복구를 받을 수 있는가?

저 같은 일반인은 그냥 포맷을 하면 됩니다. 회사나 기업에서 실수로 랜섬웨어(Ransomware)에 걸릴 경우가 문제가 되겠죠.

일반인 기준에서 현실적인 해결책은 포맷 뿐이네요. 

▲ 사실 이미 알약, 안랩 등의 백신 프로그램에서 랜섬웨어(Ransomware)를 차단하고 있습니다. 실제로 유저가 당하는 경우는 신종 확장자나 방식으로 유포되는 공격뿐이죠.

이 말은 랜섬웨어로 검색했을때 나오는 업체들의 광고글이 의미가 없다는 말입니다. 그들도 방법이 없어요. (실제로 랜섬웨어에 3번이나 걸렸던 지인에게 들은 말입니다. 광고를 올리는 보안 프로그램 업체들이 고칠 수 있는 랜섬웨어라면 이미 백신이 차단을 하고 있다.) 결국 돈을 주고 복구 키를 받거나 컴퓨터를 포맷하는 방법 밖에는 없습니다.

＊ 실제로 제 경우에도 '안랩 랜섬웨어'로 검색해서 복구툴을 다운로드받고 복구를 진행하려고 했습니다. 하지만 제 사례인 확장자 nijtenay는 아직 복구툴에 등록된 것이 아니라서 복구가 불가능했습니다.

▲ 대수롭지 않게 변형된 파일들을 지우다가 사태의 심각성을 깨닫고 C, D 드라이브에서 README 를 검색해보니 저 지경이었습니다. 이미 곳곳의 파일들이 변형된 상태였죠.

언젠가 안랩에서 복구툴에 해당 확장자를 등록하면 그때 복구하라는 지인의 말을 가볍게 무시하고 그냥 모두 포맷을 진행했습니다. 그 이유는 숙주 파일이 무엇인지 모르기때문입니다. 저는 사이트에서 사진 한 장을 캡쳐했을뿐인데 메그니베르 랜섬웨어에 걸렸습니다. 이 악성코드는 C 드라이브의 다수 폴더 속 파일들을 암호화시켰고 D 드라이브까지 넘어가서 영화 파일과 사진들을 암호화 시켰습니다.

이런 과정이 아무것도 없이 그냥 저절로 일어날 수는 없습니다. 랜섬웨어든 바이러스든, 악성코드든 결국 시발점이 필요합니다. 특히 요즘은 그 시발점인 숙주 파일을 없애지 않으면 잠복했다가 주기적으로 활동을 합니다. 제게 중요한 엑셀파일이 그 숙주가 아니라는 보장이 없는 상태에서 마냥 보관할 수는 없었습니다. 그래서 눈물을 머금고 포맷을 했네요.

(솔직히 캡쳐된 파일이 바탕화면에 저장됐으니 숙주 파일은 바탕화면에서 변형된 파일 중 하나일거라고 짐작하고 쿨하게 포맷을 했습니다. D 드라이브는 모두 확인해서 변형된 파일은 삭제하고 온전한 파일만 남겨둔 상태네요.)

메그니베르 랜섬웨어 (Magniber Ransomware)로 인한 일을 이렇게 웃으면서 이야기를 하지만 사실 피해가 없는것은 아닙니다. 삭제된 엑셀파일이 제가 이미 떠난 업계에서 쓸 수 있는 재산이었거든요. 또 같은 파일 안에 제 명의로 가입된 사이트와 계정 정보가 기록되어 있었습니다. 그 엑셀파일 하나를 제외하고 나머지는 크게 문제는 안됩니다. 전 사실 이번 기회를 통해서 이미 떠난 업계와의 연결고리가 완전히 끊어졌다고 여기려고 포맷을 한거죠. (그 외에 20대때 적었던 단편 소설들이 날아갔네요.)

참고로 제 경우만 특수한 상황일 수 있으나 랜섬웨어가 메모장 파일, 압축 파일은 변형시키지 않았습니다. 다행히 제가 현재 사용하는 정보들은 모두 메모장 파일로 기록되어 있어서 일에는 전혀 지장이 없었어요. 다만 항상 USB, 외장하드, D드라이브 총 3곳에 백업을 하던 습관을 갖고 있었는데 2주 전쯤에 그 백업을 모두 초기화 시켜버린 상황에서 랜섬웨어에 당해서 어이가 없을 뿐입니다. (포맷을 하고 외장하드 4개와 USB 2개를 열심히 찾아봤는데 모두 포맷 상태네요. 쿨하고 싶은데 쿨 할수가 없습니다.)

이번 일을 기회로 다시 외장하드에 백업하는 습관을 들여야겠습니다. (컴퓨터와 연결되지 않는 외장하드여야됩니다. D 드라이브까지 당한걸 보니까 연결되어 있으면 USB까지 다 털어갈 랜섬웨어네요.)

어쨌든 이번 일을 통해서 저는 포맷을 할 때가 다 된 컴퓨터를 강제로 포맷했고 지난 10년의 경험은 머릿속에만 남게됐네요. 강제로 클린한 일반인이 됐습니다. 이 글을 적고 2테라짜리 외장하드를 들고와서 D드라이브에 있는 영화, 음악, 사진 파일들을 다 옮겨놔야겠어요.

※ 아마 일반인이 피해를 입지 않고 예방 차원에서 이 글을 찾아볼 일은 없을겁니다. 그럼에도 불구하고 감히 말씀드리건데 이 글을 보시면 백업하는 습관을 들이세요. 중요한 파일은 사용 후 컴퓨터와 분리된 상태에서 보관되는 저장 매체에 복사를 해두는 것입니다. 그 습관을 들이는게 좋겠습니다.