[아이뉴스24 김국배 기자] 올들어 전 세계적으로 암호화폐 채굴 악성코드가 증가하고 있지만 랜섬웨어 공격 역시 여전히 기승을 부리고 있다.
특히 국내에서는 특정 랜섬웨어가 지속적으로 유포되면서 이용자를 크게 위협하고 있는 상황. 랜섬웨어는 중요 파일을 암호화한 뒤 풀어주는 대가로 금전을 요구하는 악성코드 공격을 뜻한다.
14일 안랩, 이스트시큐리티 등 사이버 보안업계에 따르면 올 초부터 현재까지 매그니베르·갠드크랩·크립트온 등 랜섬웨어 변종이 국내에서 계속 나타나고 있다.
실제로 안랩은 이달 들어 파일리스(Fileless) 형태의 매그니베르 랜섬웨어를 포착했다. 최신 취약점인 인터넷 익스플로러(IE) 원격코드 취약점을 악용해 미처 보안 업데이트를 적용하지 못한 사용자들이 피해를 입을 수 있다. 마이크로소프트(MS)는 지난달 해당 취약점에 따른 보안 패치를 배포한 상태다.
지난해 중반에 등장한 매그니베르는 한국어 버전 윈도 운영체제(OS)에서만 실행되는 등 국내 사용자를 공격대상으로 삼는 랜섬웨어로 알려져 있다. 한국어 OS 환경에서 한글(HWP) 파일을 비롯한 800여 종이 넘는 확장자 파일을 암호화한다. 한동안 주춤하더니 최근 들어 다시 기능을 부리는 모양새다.
이에 더해 지난 4월부터는 갠드크랩 랜섬웨어가 본격 확산중이다. 갠드크랩은 사용자PC에 추가로 다운로드되는 파일을 암호화하는 등 악성행위를 수행한다. 암호화페인 '대시(Dash)'를 결제 수단으로 요구하는 최초의 랜섬웨어로도 알려져 있다.
초창기에는 보안이 취약한 웹사이트를 통하다 최근에는 이미지 무단도용 항의, 피고 소환장 통지서, 채무 관련 문서, 세금 납부, 유명 취업사이트 채용공고 지원 문의 등을 사칭하는 이메일로 뿌려지고 있다.
지난 5월에는 국내 대학을 대상으로 갠드크랩 랜섬웨어가 이메일로 유포됐다.
이스트시큐리티 관계자는 "한국 맞춤형 갠드크랩 랜섬웨어가 담긴 이메일이 국내에 지속적으로 유포되고 있다"며 "매우 다양한 형태로 진화하고 있다"며 주의를 당부했다.
지난달부터는 크립트온 랜섬웨어까지 퍼지고 있다. 최신 크립트온 랜섬웨어는 감염 피해자에게 토르 브라우저를 설치하고, 토르 인터넷주소(URL)를 통해 공격자와 온라인 채팅을 하도록 유도한다.
이를 통해 공격자는 500달러(약 54만 원) 상당의 비트코인 또는 이더리움 암호화폐를 요구한다. 공격자는 추적을 피하기 위해 다수의 암호화폐 지갑을 사용하고 있다. 공격자가 알려준 주소로 암호화폐를 보내면 다른 지갑으로 다시 송금하는 식이다.
안랩 관계자는 "랜섬웨어 악성코드의 특성상 일단 감염될 경우 대부분 암호화된 파일을 복구하기 어렵다"며 "알 수 없는 사람이 보낸 이메일 확인을 자제하는 등 랜섬웨어에 감염되지 않도록 노력하는 게 최선"이라고 강조했다.
글로벌 보안업체 포티넷은 이날 '1분기 글로벌 보안 위협 전망 보고서'에서 "랜섬웨어의 양적 성장과 정교함은 조직에 매우 중요한 보안 과제가 되고 있다"며 "랜섬웨어는 사회공학과 같은 새로운 전송 채널, 탐지·감염시스템을 피하기 위한 다단계 공격 등을 적용하며 진화중"이라고 분석했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기