랜섬웨어서 공격 방법 바꿔...유창한 한국어 이메일로 유포

한국을 표적한 가상화폐 채굴 악성코드가 증가했다. 가상화폐 가격이 요동치면서 랜섬웨어를 뿌리던 조직이 채굴 악성코드로 방향을 선회한 것으로 보인다.

이스트시큐리티는 2016년부터 한국에 '비너스 로커' 랜섬웨어로 공격한 해커가 지난해 11월 말부터 가상화폐 모네로 채굴 기능 악성코드를 지속 유포하고 있다고 밝혔다. 하우리와 빛스캔 역시 지난해 말 기점으로 가상화폐 채굴 악성코드 활동을 경고했다.

한국을 표적한 공격자는 스피어피싱으로 가상화폐 채굴 악성코드를 유포한다. 유창한 한국어로 된 이메일을 보낸다. 최근에 발견된 공격은 특정 의료 시설을 겨냥했다. 웹 사이트에 공개된 간호사 채용 공고에 문의 메일을 보낸다. 간호사 이력서나 지원서로 위장한 채굴 악성코드를 첨부한다. 첨부된 파일은 바로가기(.LNK) 파일과 숨김 속성의 실행형 악성파일(.EXE)이 포함됐다. 바로가기 파일은 사진(JPG)과 문서(DOC) 파일로 위장했지만 EXE 파일을 실행하는 역할을 한다.

Photo Image
이력서를 가장한 가상화폐 채굴 악성코드(자료:이스트시큐리티)

병원은 물론 일반 기업도 채굴 악성코드의 표적이다. 취업 시즌을 맞아 입사 지원을 가장한 공격이 많다. 중고물품이나 택배 배송 등 사회 공학 기법을 활용한 사례도 있다. 현재 중고 물품 판매자에게 구매 의사가 있다는 내용으로 수신인 맞춤형 이메일을 발송했다.

공격자는 악성코드 분석을 방해하기 위해 안티 가상머신(VM) 기능을 넣었다. 감염되면 특정 복호화 루틴 함수를 이용, 모네로 채굴을 시작한다. 채굴 악성코드에 감염되면 자신도 모르게 시스템 자원 부족으로 PC 속도가 현저히 느려진다.

채굴 악성코드가 노린 가상화폐는 모네로다. 모네로는 비트코인 등 다른 가상화폐보다 추적이 어려워 익명성을 보장하는 것으로 알려졌다. 비트코인은 받은 사람이 키를 통해 어떤 사람이 보냈는지 내역을 확인한다. 모네로는 거래가 시작되면 특정 그룹 내에서 내역이 섞이고, 어떤 사람에게서 자산이 이동됐는지 확인이 어렵다. 미국 국가안보국(NSA)을 해킹했다고 주장하는 해커 그룹 섀도 브로커스는 매달 해킹한 자료를 공개하는 서비스를 시작했을 때 월정액의 요금을 모네로로 받았다.

이스트시큐리티 관계자는 “최근 가상화폐 가치가 상승하면서 랜섬웨어를 뿌리던 조직이 채굴형으로 전환한 것으로 보인다”면서 “랜섬웨어에 걸려도 돈을 지불하는 사람이 줄면서 PC 자원을 소모하는 채굴형이 증가했다”고 설명했다.

Photo Image
가상화폐가 주목을 받으며 채굴형 악성코드가 늘었다. 자료:게티이미지뱅크

김인순 보안 전문기자 insoon@etnews.com