Locky 랜섬웨어: 랜섬웨어 동작 방식과 예방법 알아보기

Locky 는 2016년에 출시된 랜섬웨어의 한 종류입니다. 사람들을 사회 공학적인 방법으로 속여 시스템 안으로 접근하고, 트로이 목마 악성코드를 다운로드 받게 합니다. 대부분 업무 이메일을 가장한 악성 스팸 이메일을 통해 전파되는 경우가 많습니다. Locky가 시스템 안에 들어오고 나면, 문서 파일, 이미지 파일, 기타 데이터 파일 등 중요해 보이는 모든 내용을 암호화 하여 전혀 사용하지 못하게 만듭니다. 그리고 피해자에게 비트코인으로 복호화 비용을 요구하여 금전적 이득을 취합니다.

Locky 랜섬웨어는 전 세계적으로 수백만 대의 시스템을 감염시켰고, 다양한 변종을 양산하며 지속적으로 확산되어 왔습니다. 기업 운영 차질, 의료 서비스 중단, 개인정보 유출 등 다양한 피해를 초래하여 사회 전반적으로 큰 손실을 입혔습니다. 이로 인해 생긴 피해를 원상 복구하기 위해서 수많은 비용이 들어갑니다. 그러므로 Locky 랜섬웨어는 심각한 사이버 범죄로 분류됩니다.

Locky 랜섬웨어의 출처는 아직 명확하게 밝혀진 바가 없습니다. 출처에 대해서 다양한 의견이 있지만, 일부 전문가들이 Locky 랜섬웨어가 러시아 해커 그룹 Evil Corp와 관련이 있다고 생각하고 있습니다. 이 조직은 Dridex라는 악성 코드로 금융 사기를 저지른 전적이 있으며, 이후 랜섬웨어를 활용해 꾸준히 범죄를 저질러 왔습니다.

Locky 랜섬웨어의 공격 수법은 Evil Corp의 공격 수법과 유사성을 보이고 있습니다. 피싱 이메일 캠페인과 악성 매크로를 사용한 문서 첨부파일, RaaS(Ransomware as a Service) 활용 등이 비슷한 점입니다. 하지만 물론 이것만으로 Evil Corp가 Locky 랜섬웨어를 만들었다고 단정지을 수는 없을 것입니다.

Locky 랜섬웨어는 이메일로부터 시작됩니다. 따라서 이메일부터 잘 분별하여 차단하는 것이 매우 중요합니다. Locky를 포함한 랜섬웨어 이메일에 어떤 특징이 있는지 알아봅시다.

1. 발신자 정보 – 해커가 유명한 기업이나 기관을 사칭하여 이메일을 보내는 경우가 많습니다. 실제 존재하는 기업의 이메일 도메인과 한두글자만 다른 도메인을 사용할 수도 있습니다. 예를 들어, 이메일 도메인으로 paypal.com 대신 paypall.com 과 같이 한글자만 다르게 쓴 경우입니다. 사용자가 무심결에 진짜 페이팔에서 온 이메일인줄 알고 속아서 랜섬웨어에 감염될 수 있습니다.
2. 긴급한 메시지 – 피싱 이메일은 제목이나 본문에 즉각적인 대응을 요구하는 경우가 많습니다. 사람이 당황하게 되면 정상적인 판단을 못하는 점을 이용한 셈입니다. 예를 들어, ‘귀하의 계정이 해킹되었습니다. 이 링크를 통해 즉시 비밀번호를 변경하세요’ 또는 ‘귀하의 계정이 미납금으로 인해 해지될 예정입니다. 해지를 막으려면 미납금을 결제해 주세요’ 와 같이 즉각적인 조치를 요구하는 문장을 넣습니다. 심리적 압박감을 이용해 피해자가 링크를 클릭하거나 첨부파일을 열도록 유도합니다.
3. 문법이 틀린 영어 이메일 – 사실 한국에서는 영어로 이메일을 주고 받을 일이 많지 않은 편입니다. 그렇기에 영어로 된 이메일을 받았다는 것 자체로도 일단 경계심을 가져야 할 것입니다. 하지만 개인 사유나 업무상 영어 이메일을 사용하시는 분들도 계실 것입니다. 그럴 때는 영어 문장의 문법을 잘 살펴보시는 것도 좋습니다. 해커들이 급하게 이메일 내용을 쓰느라 틀린 단어를 사용할 때가 많기 때문입니다. ‘customer’를 ‘costumer’라고 쓰거나, 단수/복수 문법을 틀리는 경우도 많습니다. Locky 랜섬웨어의 배후에 러시아 해커조직이 있는 것으로 추정되는 바, 영어 문법이 완벽하지 않을 가능성이 높습니다.
4. 번역투의 한국어 이메일 – 그럼 한국어로 이메일을 받았으면 괜찮은 것 아니냐구요? 그래도 이메일에 어색한 표현이 있다면 의심해봐야 합니다. 최근 해커들은 영어 뿐 만이 아니라 한국어로도 이메일을 보내기 시작했습니다. 이 때, 대부분은 번역기를 사용하여 이메일을 보냅니다. 그러니 꼼꼼히 잘 읽어보고 혹시 문장이 어색하거나 틀린 표현이 있다면 피싱 이메일로 의심하는 것이 좋습니다.
5. 첨부파일 및 링크 – Locky 랜섬웨어는 꼭 이메일에 첨부파일 또는 링크를 집어넣습니다. 특히 Microsoft사의 문서 파일이 모르는 사람에게서 왔다면 꼭 의심해 보아야 합니다. 섣불리 첨부파일을 다운받지 마세요. 다운로드 받는 순간 매크로가 실행되면서 모든 시스템이 마비될 수 있습니다. 메일 내용 중간에 링크가 포함되었다면 먼저 URL을 꼼꼼히 확인해 보세요. 이메일 중간에 포함된 링크는 왠만하면 클릭하지 않는 것이 좋습니다. 특히, 모르는 사람에게서 온 메일이라면 그 링크가 피싱 사이트로 연결될 가능성이 매우 높습니다.

Locky 랜섬웨어는 사회 공학적인 방법과 봇넷, 악성코드, 암호화 알고리즘 등 다양한 기술을 이용하여 피해자의 네트워크 상에 자리잡습니다. 그 다음 파일 복호화를 빌미로 피해자를 협박하여 돈을 갈취합니다. 아래에서 Locky 랜섬웨어의 동작 과정을 차례대로 알아봅시다.

초기 침투 단계

Locky는 대규모 스팸 메일을 뿌리는 것으로 유명합니다. 주로 Necurs와 같은 봇넷을 이용하여 불특정 다수에게 대량으로 스팸 메일을 전송하는데, 시간당 무려 5백만통의 스팸 이메일을 보낼 수 있습니다. 스팸 이메일은 마치 업무와 관련된 중요한 이메일인 것처럼 작성되어 피해자의 경계심을 무너뜨립니다.

Locky는 보통 Microsoft 문서 파일 안에 악성 매크로를 포함 시키는 경우가 많습니다. 주로 워드 또는 엑셀, 또는 zip 압축 파일이나 pdf 파일 안에도 매크로가 포함되어 있습니다. 그리고 파일 이름을 ‘물품 지급 내역서’, ‘영수증’, ‘고객 요청사항’ 등 업무상 흔히 접하는 문서의 이름으로 합니다. 피해자가 속아서 문서를 열면, 내용이 깨진 상태로 보여지면서 ‘콘텐츠를 활성화’ 하라는 메시지가 나옵니다. 이를 무심코 허용하면 악성 매크로가 실행되면서 해커 조직의 C&C 서버로부터 Locky 랜섬웨어의 페이로드가 다운로드 되는 것입니다. 혹시나 실수로 이메일을 열었다 해도, 매크로를 실행하지 않고 바로 이메일을 지우면 랜섬웨어 공격을 당하지 않습니다.

정보 수집 및 파일 암호화

Locky가 시스템 안에 무사히 상륙하고 나면, 이제 몰래몰래 감염된 시스템의 정보를 수집하기 시작합니다. 중요 정보에는 주로 운영 체제 정보, 사용자 권한, 네트워크 정보 등이 있고 이를 아까 연결한 C&C 서버로 전송합니다.

그리고 감염된 시스템 내에 있는 중요 파일들을 골라서 암호화 하기 시작합니다. 암호화에는 RSA-2048 및 AES-128 알고리즘이 사용됩니다. 이는 PKI 기술에 적용되는 암호화 알고리즘과 동일합니다. 대칭키인 AES와 비 대칭키인 RSA 방식을 이중으로 적용하여 해독하는 것이 사실상 불가능하게 만들어 버리는 것입니다. AES(Advanced Encryption Standard) 알고리즘을 이용하면 대량의 파일을 빠른 시간안에 암호화하는 것이 가능합니다. 이렇게 파일들을 AES 대칭키 방식으로 암호화 하고 난 후, 그 AES 키를 RSA 비대칭키 암호화를 이용하여 다시 암호화 합니다. 이렇게 이중으로 암호화된 데이터는 복구하기가 거의 불가능에 가깝습니다.

특히 RSA 비대칭키로 암호화가 되었으므로, 이를 복호화 하려면 해커로부터 RSA 개인키를 받아 내야만 복호화가 가능합니다. 이 방식은 Ryuk 랜섬웨어에도 동일하게 쓰이는 방식입니다. 암호화된 파일들은 .locky, .zepto, .odin, .aesir 등 여러 가지 다양한 이름으로 확장자가 변합니다. Locky의 변종 버전에 따라서 확장자가 다른데, 그 부분은 밑에서 조금 더 알아 볼 것입니다.

랜섬노트 생성

암호화가 완료되고 나면, 랜섬 노트가 생성됩니다. html 파일로 생성되거나, 아니면 바탕화면에 이미지로 나타내는 경우도 있습니다. 랜섬 노트를 한국어로 번역해보면 대략 다음과 같은 내용입니다.

!! 중요 정보 !! 모든 파일이 RSA-2048과 AES-128 알고리즘을 이용하여 암호화 되었습니다. RSA와 AES가 무엇인지에 대한 상세 정보는 여기에 있습니다: (위키피디아 링크) 파일을 복호화 하려면 개인키와 복호화 프로그램이 필요한데, 그건 저희의 비밀 서버에만 존재합니다. 개인키를 받으려면 다음의 링크로 들어오세요: (해커의 웹사이트 주소) 만약에 사이트가 작동하지 않는다면, 아래의 절차를 따르시기 바랍니다. Tor 브라우저를 다운로드하고 실행하세요. 브라우저가 성공적으로 설치되면, 브라우저를 실행 후 초기화 과정을 기다리세요. 주소창에 이 주소를 입력하세요. (해커의 또 다른 웹사이트 주소) 그 웹사이트에 있는 지시사항을 따르세요. !! 당신의 개인 식별 ID는: ***** !!

토르 브라우저를 통해서 다크웹에 있는 해커의 웹사이트에 들어가면, 해커의 비트코인 지갑 주소와 랜섬 머니를 결제하는 방법에 대한 설명이 나와 있습니다.

레지스트리 수정 및 백업 삭제

Locky 랜섬웨어는 감염된 컴퓨터의 Windows 레지스트리 값을 수정해 둡니다. 이는 감염 후 재부팅 시에 자동적으로 Locky 랜섬웨어가 실행되게 하기 위해서입니다. 그래서 피해자가 랜섬웨어 감염을 인지하고 컴퓨터를 종료한 경우에도, 재부팅 시 레지스트리 값에 의해 Locky가 실행되어 활동을 재개합니다. 그리고 Locky는 Windows의 섀도우 복사본(Shadow Copies)도 삭제합니다. 피해자가 나중에 윈도우 백업을 통해서 데이터를 복구하지 못하도록 미리 조치하는 것입니다. 이렇게 하는 이유는 피해자가 스스로 데이터를 복구하지 못해야 해커가 랜섬머니를 받을 확률이 올라가기 때문입니다.

Lokcy 랜섬웨어는 수 많은 변종을 가지고 있는 것으로도 유명합니다. 변종이 등장할 때 마다 성능이 향상되어, 시스템이 랜섬웨어를 탐지하는 것을 더 잘 회피하고 있습니다. 각 변종은 서로 다른 확장자를 가지고 있으며, 암호화 방식, 랜섬 노트의 형식 등에서도 차이가 있습니다. 주요 Locky 변종을 아래에 정리해 보았습니다.

• PowerLocky: 기본 Locky와 유사한 방식으로 동작하며, 초창기 Locky에서 아주 조금 업그레이드 된 버전으로 간주됩니다. 파일 확장자는 .locky로, 기본 Locky와 동일합니다. 2016년에 유행했던 오래된 버전으로, 현재는 PowerLocky로 암호화되었던 파일을 복호화 하는 무료 프로그램도 나와 있습니다.
• Diablo: 암호화된 파일 확장자를 .diablo로 바꾸는 변종입니다. 피싱 이메일의 첨부파일로 zip 압축파일을 사용합니다. 기존 Locky에 비해 암호화 방식과 감지 회피 기능을 향상시킨 버전입니다.
• Zepto: 암호화된 파일 확장자를 .zepto 로 바꿉니다. diablo와 동일하게 이메일의 첨부파일로 zip 압축파일을 사용합니다. zip 압축파일 내에 자바스크립트 실행 파일을 포함하고 있어서, 실행시 zepto가 설치됩니다. 암호화 방식과 C&C 서버와의 통신 방식을 업그레이드 했습니다.
• Odin: Odin은 Zepto에서 조금 더 업그레이드 된 버전입니다. 마찬가지로, 파일 확장자를 자신의 이름인 .odin으로 바꿉니다. Odin 변종이 나타나면서부터 초기 Locky 랜섬웨어보다 더 많은 랜섬머니를 청구하기 시작하였습니다. 보통의 랜섬웨어가 0.5~1.5 비트코인을 요구하는데, odin은 3비트코인까지 요구하였습니다.
• Osiris: 새로운 암호화 알고리즘을 도입하였고, 암호화된 파일 확장자를 .osiris로 바꿉니다. 또한 C&C 서버와의 통신 방식을 좀 더 복잡하게 만들었습니다. 복잡한 통신 방식으로 인해서 랜섬웨어를 추적하기 어렵게 만들었습니다. 또한 Windows 운영 체제 뿐 만 아니라 안드로이드와 macOS도 감염시킬 수 있습니다.
• Thor: 첨부파일에 zip 압축파일을 넣은 대량 스팸 이메일 캠페인을 사용합니다. 암호화된 파일 확장자로 .thor를 사용합니다. 코드 난독화 기술을 이용하여 탐지가 어렵게 만들었습니다.
• Lukitus: 가장 최근 변종이라고 할 수 있습니다. 랜섬 노트가 살짝 바뀌었고, 또 스팸 이메일에 PDF 첨부파일을 사용하기 시작하였습니다. 암호화된 파일 확장자를 .lukitus로 바꿉니다.

여기서 살펴본 변종들 이외에도 aesir, asasin, loptr, shit, yktol, zzzzz 등의 확장자를 가지는 변종들이 존재합니다.

Locky 랜섬웨어는 전 세계적으로 다양한 조직에 큰 위협을 주었습니다. 특히 의료기관은 환자의 생명과 관계된 만큼 운영상의 큰 피해를 입었습니다. 아래에 Locky 랜섬웨어로부터 공격을 당한 의료 기관의 사례가 있습니다.

할리우드 장로병원 사례

할리우드 장로병원(Hollywood Presbyterian Medical Center)은 한국의 차병원이 투자한 것으로도 잘 알려져있는 대형 병원입니다. 이 병원에서 2016년 2월 5일, Locky 랜섬웨어의 공격을 당하여 전체 병원 시스템이 열흘 동안 마비되는 사태가 벌어졌습니다. 감염 경로는 공식적으로 발표된 적은 없지만 아마도 피싱 이메일을 통해 감염된 것으로 추정됩니다. 병원 직원들이 시스템 이상을 인지하여 상부에 보고하였고, 경영진은 내부 비상사태를 선언하였습니다. 방사선실을 포함한 많은 중요 부서에서 컴퓨터 전원을 아예 종료해야 했습니다. X-ray, CT 검사와 같은 각종 검사를 진행할 수 없었고, 환자 기록에도 접근할 수 없었습니다. 당장 필요한 기록들은 수기로 적어야 했고, 일부 환자들은 치료를 위해 다른 병원으로 결국 전원시켜야만 했습니다.

결국, 병원 측에서는 해커에게 연락을 취해 랜섬머니 금액을 협상하기로 했습니다. 해커에게 돈을 낼 의향이 있으니 금액을 낮춰달라고 요청한 것입니다. 처음 해커가 요구한 금액은 9,000 비트코인으로, 당시 3백 6십만 달러에 달하는 매우 큰 금액이었습니다. 하지만 협상이 시작되자 해커는 놀랍게도 40 비트코인으로 금액을 할인해 주었습니다. 이는 1만 7천달러 정도의 금액으로, 처음의 1/20도 안 되는 금액입니다. 랜섬 머니를 지불한 이후 병원 시스템은 다시 정상화 되었습니다. 이후, 병원에서는 2차 공격을 막기 위해서 내부 보안 시스템을 재정비 하는 절차를 거쳤습니다.

켄터키 감리교 병원 사례

2016년 2월, 켄터키 감리교 병원(Kentucky Methodist Hospital)이 Locky 랜섬웨어의 공격을 받았습니다. 병원 관계자는 피싱 이메일의 첨부파일을 통해 Locky 랜섬웨어가 들어왔다고 언급했습니다. Locky가 한 대의 컴퓨터로부터 병원 전체 네트워크로 퍼져서 여러 시스템을 감염시키는 것에 성공했습니다. 해커는 켄터키 감리병원측에 4비트코인을 요구했고, 이는 대략 1,600 달러에 해당하는 금액입니다.

병원에서는 모든 컴퓨터를 셧다운 시켰고, 이 과정에서 모든 업무는 수기로 처리되어 많은 불편을 초래했습니다. 추후에 감염 범위를 확인하기 위해 컴퓨터를 차례대로 한 대 씩 켜서 확인하는 과정을 거쳤습니다. 병원은 또한 FBI와 협력하여 조사를 받았습니다.

그 후, 병원 측은 지역 언론을 통해 해커에게 랜섬 머니를 지불하지는 않았다고 밝혔습니다. 대신에 병원 내부의 백업 시스템을 이용하여 데이터를 살려냈다고 말했습니다. 시스템을 복원하는 기간 동안 업무를 수기로 대체하는 불편이 있었지만, 백업 시스템이 있었기에 정상화 되는것이 가능했던 것입니다. 이 사례는 평소에 강력한 백업 시스템을 잘 유지하는 것이 위기 상황에 얼마나 큰 도움이 되는지를 보여줍니다.

Locky가 의료기관만을 타겟으로 하는 것은 아닙니다. 중소기업, 대기업, 공공기관, 학교, 개인을 대상으로 Locky 랜섬웨어 피해가 있었습니다. 피해자 대부분은 기업 이미지 손상 등을 우려하여 랜섬웨어에 감염된 사실을 외부에 공개하는 것을 꺼립니다. 하지만, 보고에 따르면 한국을 포함한 최소 114개 국에서 Locky 랜섬웨어와 관련된 피해 사례가 있었습니다. Locky 랜섬웨어 피해 방지를 위해서 대응 수칙과 예방책을 미리 마련해 두는 것이 좋습니다.

Locky와 같은 랜섬웨어에 감염되었을 때는 어떻게 대처를 해야 할까요? 일단 감염되지 않는 것이 최선이지만, 실수로 감염된 경우를 대비하여 대응법을 알아 봅시다. 초기 대응을 어떻게 하느냐에 따라서 피해 규모는 크게 달라질 수 있습니다.

1. 감염 시스템 격리하기 – 랜섬웨어는 네트워크를 통해 확산되므로, 감염된 시스템을 전체 시스템으로부터 분리해야 합니다. 인터넷 연결을 차단하고, 네트워크 공유 폴더를 닫아 확산을 방지해야 합니다. 만일 연결된 USB 드라이브나 외장하드가 있다면 즉시 분리하시기 바랍니다. 이 때, 컴퓨터를 무조건 끄는 것이 최선은 아닙니다. 랜섬웨어가 얼마나 진행되고 있는지에 따라 대처법이 달라집니다.
2. 감염 범위 파악하기 – 어떤 파일과 시스템이 얼마나 영향을 받았는지 확인해야 합니다. 파일 확장자가 변했는지, 랜섬 노트가 생성되었는지 확인하십시오. 또한 시스템 로그나 네트워크 활동을 분석하여 다른 시스템으로 확산된 적이 있는지 확인해야 합니다. 만일 암호화가 현재 진행중이라면 컴퓨터를 끄는 것이 좋습니다. 그런데 암호화가 이미 완료되었고 랜섬노트 까지 생긴 상황이라면 대개 컴퓨터를 끌 필요는 없고, 데이터 복구 작업에 초점을 맞춰야 합니다.
3. 보안 전문가와 협력하기 – 랜섬웨어 감염이 확인된 순간부터 시스템 담당자에게 사실을 공유해야 합니다. 전사 담당자가 있는 기업이나 기관의 네트워크라면 즉시 전산 담당자에게 알려 조치를 취하십시오. 만일 소규모 기업이라서 전산 담당자가 따로 없거나, 개인이 피해를 입었을 경우에는 외부 보안 전문가의 도움을 받아야 합니다.
4. 랜섬머니 지불은 지양 – 대개의 경우 랜섬머니를 지불하는 것은 권장되지 않습니다. 해커가 돈만 받고 파일을 복구해주지 않는 경우도 많기 때문입니다. 때로는 작동하지 않는 엉터리 복구 키와 프로그램을 받을 수도 있습니다. 또한 해커가 추가적으로 돈을 더 요구할 가능성도 배제할 수 없습니다. 사실, 랜섬머니를 지불하면 결과적으로 해커 단체를 금전적으로 지원하는 것이 되어 더 많은 사이버 범죄를 부추기는 꼴이 됩니다. 또한 그들이 돈을 지불한 기업이나 개인을 다시 타겟으로 삼아 공격할 가능성이 있습니다. 그럼에도 불구하고, 너무 중요한 데이터가 암호화 되었다면 보안 담당자와 상의하여 돈을 지불할 지 여부를 결정해야 할 것입니다.
5. 백업된 데이터가 있다면 복구하기 – 평소에 데이터를 잘 백업해 두었다면 그 데이터를 활용하여 시스템을 복구할 수 있습니다. 평소에 DR 서버(Disaster Recovery Server) 와 같은 백업 서버에 잘 백업을 해두었다면 사라진 데이터를 빠른 시간 내에 복구할 수 있을 것입니다. 하지만 복구 작업을 진행하기 전에, 그 백업 버전 또한 랜섬웨어에 감염이 된 건 아닌지 먼저 잘 확인해야 합니다. 감염된 백업 파일을 이용하려다 오히려 재 감염이 되는 불상사가 일어날 수 있습니다.

초기 대응이 끝났다면 재발 방지를 위해 보안 정책을 강화하고, 모든 소프트웨어를 최신 상태로 업데이트 하는 등의 조치가 필요할 것입니다. 한 번 침입을 당한 네트워크의 취약점을 수정하지 않는다면 다음 번에도 다시 랜섬웨어에 감염될 수 있습니다.

위에서 살펴보았듯이, Locky를 포함한 모든 랜섬웨어는 걸리고 나서 대응하는 것보다는 예방 하는 것이 최선의 방법입니다. 일단 랜섬웨어에 감염이 되고 나면 너무나 높은 비용을 치르게 됩니다. 우리가 Locky 랜섬웨어 공격을 피해가기 위해서 할 수 있는 몇 가지 일들이 있습니다.

• 직원 보안 교육을 철저히 합시다: 기업의 경우, 단 한 명의 직원이라도 Locky 랜섬웨어에 감염이 되면, 전체 네트워크로 확산되는 것은 그저 시간 문제입니다. 전사적으로 정기 보안 교육 세션을 가지고 보안 지식에 대해 적극적으로 가르쳐야 합니다. 특히 사회 공학 기술에 넘어가지 않도록 피싱 이메일, 가짜 웹사이트를 구분하고 피하는 방법을 알려줘야 합니다.
• 위협 방지 기능이 있는 VPN을 사용합시다. 좋은 VPN은 다운로드 받는 파일 중에 멀웨어가 있는지 실시간으로 스캔하여 체크해 줍니다. Locky와 같은 랜섬웨어도 미리 잡아내어 컴퓨터에 영향을 끼치지 못하도록 원천 차단을 해버립니다. 무료 VPN은 도리어 사용자의 정보가 유출될 가능성이 있으므로 사용을 지양하시기 바랍니다.
• 운영 체제와 소프트웨어를 최신 버전으로 업데이트: 우리가 사용하는 운영체제와 각종 소프트웨어들은 제작사 측에서 정기적으로 버전을 업데이트 합니다. 또, 유행하는 랜섬웨어가 있을 경우에는 그에 대응하여 소프트웨어 보안 정책을 수정하여 공격을 예방합니다. 따라서 항상 운영체제와 모든 소프트웨어를 최신 버전으로 유지하여 최상의 보안 상태를 만들어야 합니다. 오래된 소프트웨어 버전은 취약점이 많아서 랜섬웨어에 쉽게 걸릴 수 있습니다.
• 이메일 보안 시스템 강화: Locky의 주된 감염 경로는 피싱 이메일입니다. 네트워크에 의심스러운 이메일을 탐지해 내는 필터 시스템이 있다면 더할 나위 없이 좋습니다. 필터링 시스템에서 발신자, 첨부파일, 링크 등을 모두 분석하여 이상한 이메일은 차단해야 합니다. 피싱 이메일을 차단하면 Locky 랜섬웨어에 걸릴 확률이 크게 줄어들 것입니다.
• 매크로 기능 비활성화: Locky 공격의 대부분은 매크로를 사용하여 랜섬웨어를 설치합니다. 마이크로소프트 오피스 설정에서 매크로 설정을 비활성화 하십시오. 그리고 나중에 꼭 필요할 때만 다시 매크로를 활성화하면 됩니다.
• 중요 데이터를 다른 시스템에 백업하기: 중요한 파일들은 항상 현재 시스템이 아닌 다른 시스템에 백업이 되어 있어야 합니다. 그래야만 랜섬웨어 공격을 받았을 때, 영향을 받지 않은 시스템으로부터 데이터를 되살릴 수 있기 때문입니다. 백업 시스템이 잘 되어 있는 경우에는 랜섬 머니를 지불하지 않고도 데이터를 복원하는 것이 가능합니다.
• 파일 확장자 보기 활성화: 파일 확장자가 보이지 않도록 시스템에서 설정된 경우가 있습니다. 확장자가 보이지 않으면 악성 파일인지 여부를 구분하기 어렵기 때문에, 파일 확장자가 보이도록 설정해 두십시오. 그리고 확장자가 .exe, .vbs, .scr인 파일은 특히 주의하시기 바랍니다.
• 방화벽 사용하기: 방화벽은 Locky 랜섬웨어와 같은 사이버 위협을 예방하는 데 중요한 역할을 합니다. 방화벽은 악성 트래픽이 내부 시스템으로 들어오는 것을 차단해줄 수 있습니다. Locky는 C&C 서버와 통신하여 랜섬웨어 활동을 하는데, 방화벽은 이런 이상 패턴을 탐지할 수 있습니다. 또한 이메일 트래픽도 모니터링 하여 악성 코드를 차단해 주기도 합니다.

랜섬웨어 생태계는 Locky가 나타난 이후 큰 전환점을 맞았습니다. 강력한 암호화 알고리즘, 대규모 배포 방식, 사회 공학 기법 등을 이용하여 완성도 높은 랜섬웨어를 세상에 보여주었습니다. 이를 바탕으로 수 많은 Locky 랜섬웨어 변종이 나타나 아직까지도 사라지지 않고 우리를 괴롭히고 있습니다. 누구든지 일단 Locky에 감염이 되고 나면 금전적, 시간적 손해를 보는 것은 너무나 자명한 일입니다.

랜섬웨어는 그저 IT 기술자들과 관련된 일이 아닙니다. Locky의 위협에 대응하기 위해서는 보안 시스템을 강화하는 것과 더불어 일반 사용자들의 인식 제고와 예방이 필요합니다. 아무리 강한 보안 시스템이 있어도, 사용자가 랜섬웨어를 경계하지 않으면 순식간에 보안 사고가 일어날 수 있습니다. 앞으로 우리 모두는 Locky 랜섬웨어에 감염되는 일을 되풀이 하지 않도록 주의해야겠습니다.