이스트시큐리티·하우리 등 한글로 제작된 악성파일 주의 요구
[현대경제신문 조재훈 기자] 한국을 공략하기 위해 변종된 랜섬웨어가 이메일을 통해 지속적으로 유포되며 기관, 단체는 물론 일반 사용자들에게 위협을 가하고 있다.
24일 IT업계에 따르면 이스트시큐리티, 하우리 등은 최근 한국어가 지원되는 랜섬웨어가 기승을 부리고 있다며 주의를 당부했다.
이스트시큐리티 시큐리티대응센터는 최근 수개월간 국내 기관과 기업을 집중적으로 겨냥한 비너스락커 변종 랜섬웨어 공격이 꾸준히 이어지고 있으며 관련 피해 보고가 잇따르고 있다고 설명했다. 비너스락커는 랜섬웨어 샘플 발견 당시 공격자의 명칭이다.
이번 랜섬웨어는 ‘비너스락커(Venus Locker)’의 변종으로 악성파일을 첨부한 이메일을 국내 특정 단체의 공지로 위장해 다량 발송하는 형태로 유포됐다.
특히 이번 공격은 랜섬웨어 피해자에게 한국어로 복구 절차, 비트코인 구매 방법 등을 친절히 설명해 주는 등 매우 적극적인 모습을 보여주고 있어 각별한 주의가 필요하다.
또한 한국의 특정 연구소나 주요 기관 종사자를 대상으로 연말정산 안내, 내부 지침 사항 공지 등을 사칭해 메일을 보내거나 법무법인에는 법률 상담 문의 메일을 보내는 등 국내 기업과 기관의 특징을 정확히 파악해 맞춤형 공격을 가하고 있다.
하우리도 ‘세이지(Sage) 랜섬웨어’가 한국어를 지원하는 등 국내 맞춤형으로 진화해 웹을 통해 국내에 유포되고 있다고 설명했다.
세이지 랜섬웨어는 전세계를 대상으로 활발히 유포되고 있는 랜섬웨어로 드라이브 바이 다운로드 방식을 차용하고 있으며 웹 취약점을 통해 불특정 다수를 공격한다. 최근 2.2 버전으로 업데이트되면서 ‘파일 복구 지침’ 안내문에 한국어를 추가하고 본격적인 국내 맞춤형 랜섬웨어로 진화했다.
세이지 랜섬웨어는 기존에 주로 쓰이던 이메일 방식에서 웹을 통해 국내의 불특정 다수에게 뿌려지고 있어 그 유포방식이 점차 진화하고 있다.
메일에 첨부된 랜섬웨어 악성 파일은 국내에서 쓰이는 압축 프로그램이 쓰였으며 한글로 된 정교한 파일명으로 위장됐다.
이러한 한국 맞춤형 랜섬웨어 공격은 올 상반기 국내에서 보고된 가장 큰 실존 보안 위협이 될 것으로 보인다.
IT업계 관계자는 “랜섬웨어가 사이버 공격자들의 주요 돈벌이 수단이 되면서, 공격 수법이 갈수록 지능화되고 있다”며 “국내 기업과 기관 종사자는 이메일에 첨부된 파일을 실행하기 전 다시 한번 확인하는 주의를 기울여야 한다”고 말했다.