많은 랜섬웨어 유형이 러시아어 키보드 설치 시 공격을 중단한다 (2021)

카테고리

인프라/DevOps/보안

서브카테고리

보안

대상자

• IT 보안 담당자, 사이버 보안 전문가, 시스템 관리자
• 중간~고급 수준의 보안 실무자 (기본 보안 수칙과 병행해야 하는 추가 보호 수단에 대한 이해 필요)

핵심 요약

• 랜섬웨어는 러시아어/우크라이나어 등 특정 언어 키보드가 설치된 PC에서는 실행을 중단하도록 설계되어 있다
• CIS 국가를 피해가는 것은 자국 정부의 감시와 법적 리스크를 피하기 위한 전략 (예: 다크사이드 그룹의 경우)
• 러시아 법적 환경상 외국 시스템만 타깃팅하도록 제한 (국내 피해를 유발하면 법적 위험 증가)

섹션별 세부 요약

1. 랜섬웨어의 언어 키보드 감지 메커니즘

• 러시아어, 우크라이나어 등 언어 감지 시 악성코드 실행 중단
• REvil(또는 GandCrab) 등 일부 랜섬웨어는 특정 국가(예: 시리아)를 피해감
• 윈도우 레지스트리 조작으로 언어 설정을 속이면 공격 회피 가능

2. CIS 국가 타깃팅 제한의 법적 배경

• 러시아 내 피해자 유발 시 법적 리스크 증가
• 자국 내 수사 유도 방지 목적으로 CIS 국가 타깃팅 제한
• 다크사이드 그룹은 "정치적 목적 없음"을 주장하며 사회적 영향 고려

3. 실제 적용 사례 및 한계

• 러시아어 키보드 설치 또는 레지스트리 조작으로 공격 방지 시도
• 14개 언어 설치 시 디스크 공간 낭비 우려 제기
• 이 방법은 기본 보안 수칙과 병행해야 하며, 모든 악성코드에 효과적이지 않음

결론

• 러시아어 키보드 설치는 추가 보호 수단으로, 기본 보안(예: 패치, 방화벽)과 병행하여 사용
• 윈도우 설정에서 언어 추가 후 재부팅 시 적용 가능 (예: 윈도우 설정 > 시간 및 언어 > 언어 항목)
• 최신 버전 일부는 언어체크 생략하지만, 이는 해커의 법적 리스크 증가로 인한 선택