최근에 필자가 신문 메일을 받으면서 보고 있는데.


 새로운 랜섬웨어라고 하면서 이야기하는 것이 있었다.


 링크 : http://www.itworld.co.kr/news/102981


 스포라라고하여, '오프라인 랜섬웨어'이다.


 해당 방법은 파일 암호화는 대칭키를 해당 대칭키를 비대칭키로 암호화해서 서버(공격자)에게 주고 받는 일반 적인 랜섬웨어와 다르게 해당 랜섬웨어는 오프라인.


 즉, 인터넷이 연결이 안되어있어도 공격이 가능한 방법이다.


 해당 신문의 설명에 따르면,


 일반적인 랜섬웨어는 파일는 대칭키로 암호화 한 후에 공격자에게 비대칭키(공개키)를 받아서 대칭키를 암호화/전송하는 과정을 거친다고 한다.


 즉, 네트워크 통신을 통해야지만, 랜섬웨어가 제대로 작동이 된다는 말이다.


 그래서 방화벽로 모르는 경로로 서버를 연결할 수 없게 만든다면, 딱히 문제가 없어진다.


 하지만, 오프라인 랜섬웨어는 다음과 같은 방법을 통한다.


 1. 멀웨어가 동작 각파일에 맞는 대칭키로 암호화.

 2. 대칭키를 멀웨어가 가지고 있는 공개키로 암호화.


 이렇게 할 경우에는 공개키가 멀웨어에 존재해서 단일한 공개키만으로 암호화가 거치게 되며, 개인키를 받게되면, 다른 피해자도 동일한 개인키로 해체가 될 수 있다는 점이 있었다.


 기사에서 나온 스포라는 다음과 같이 동작한다.

 1. 멀웨어가 동작. 각 파일에 맞는 대칭키로 암호화.

 2. 대칭키를 RSA로 암호화하여 공개키/개인키 생성.

 3. 해당 공개키/개인키를 대칭키로 암호화.

 4. 멀웨어가 가지고 있는 공개키로 대칭키 암호화.


 이렇게 하면, 파일에 암호화한 대칭키를 RSA가 암호화 했기 때문에. 개인키가 있어야 된다.

 여기까지(2)는 사용자가 풀 수 있다.


 하지만, 다시 대칭키를 만들어서 공개키와 개인키로 암호화한다.


 이것은 RSA로 만든 키가 뭔지 알 수 없게 되어버린다.

 이 후에 다시 대칭키를 멀웨어가 가지고 있는 공개키로 암호화해서 사용자는 어쩔 수 없이 공격자에게 돈을 보낼 수 밖에 없게 만들었다.


 이렇게 하면, 공격자는 RSA을 풀 수 있는 대칭키만 풀어서 보내주면 된다.


 우리나라의 공인 인증서 같은거랑 비슷하게 돌아가는 것같다.(사용자가 공인인증서의 인증서와 키가 같이 가지고 있고, 암호를 풀려면 비밀번호를 알아야 되는 것과 같이...)


 그리고 전문가의 말로는 쉽게 풀기 어렵다고 한다.


 암호는 사용자의 사적 정보를 지키기 위해서 만들어진 '방패'인데.


 '방패치기'(랜섬웨어)를 당하고 있는 사용자들을 보면, 참으로 아이러니하다.

Posted by JunkMam
,