자료 볼모로 돈 요구하는 ‘랜섬웨어’ 국내 상륙

PC 이용자가 보유한 중요자료를 볼모로 잡고 돈을 요구하는 ‘랜섬웨어(Ransomware)’가 국내서도 발견됐다.

18일 보안업계는 최근 미국 등에서 악명을 떨친 랜섬웨어 ‘크립토월(Cryptowall)’ 변종이 국내에 상륙했다며 주의를 요구했다. 해외와 거래하며 영문 이메일을 많이 쓰는 무역회사가 주로 피해를 입을 수 있다. 해외 사이트를 방문만해도 감염되는 ‘드라이브 바이 다운로드’ 형태 랜섬웨어도 확산 중이어서 모든 PC 사용자의 주의가 요구된다.

Photo Image
최상명 하우리 차세대보안연구센터장은 PC를 랜섬웨어에 직접 감염시켰다. PC 내 이미지, 문서 등 55개 파일이 암호화됐으며 공격자는 50만원을 요구했다.119시간 38분 내로 돈을 내지 않으면 2배로 늘어나 100만원으로 증가했다.

크립토월은 주로 영문 이메일로 전파된다. 크립토월에 감염되면 마이크로소프트(MS) 워드를 비롯해 파워포인트, PDF, JPG 등 다양한 확장자 파일을 RSA-2048 알고리즘으로 암호화한다. 공격자는 파일을 정상화하기 위해 어떻게 해야 하는지 설명하고 돈을 지불하라고 유도한다.

랜섬웨어가 실행된 후 암호화된 파일에는 손상됐다는 메시지가 나온다. 파일이 열리더라도 알아볼 수 없는 내용으로 보인다. 크립토월은 제한시간을 정해두고 시간 내에 돈을 지불하지 않으면 금액을 인상한다. 복호화 키를 삭제해 영영 복구할 수 없게 한다는 메시지를 띄운다. 제한시간을 둬 사용자 불안감을 높이는 셈이다.

심지어 크립토월은 고객지원 창이 있다. 마치 판매자와 구매자 관계처럼 대화할 수 있는 페이지까지 만들었다. 공격자는 메신저로 암호화된 파일 한 개를 복호화하는 것을 보여주며 사용자에게 돈 지불을 강요한다. 하지만 한번 암호화된 파일은 복구 가능성이 매우 희박하다. 돈을 지불해도 완전히 복구해준다는 보장이 없다. 공격자가 너무 많은 랜섬웨어를 유포해 암호화 키를 제대로 관리하지 않기 때문이다.

박상환 한국인터넷진흥원(KISA) 코드분석팀장은 “해외 비즈니스를 하는 국내 기업에서 유사 변종 감염 신고가 발생했다”며 “출처가 불분명한 이메일에 포함된 첨부파일이나 인터넷주소(URL)를 절대 클릭하지 말아야 한다”고 당부했다.

최상명 하우리 차세대보안연구센터장은 “남미 지역에서 나오는 악성코드 대부분이 랜섬웨어”라며 “해외 웹사이트만 방문해도 걸리는 형태까지 확산돼 주의가 요구된다”고 말했다.

안랩측은 “피해 예방을 위해 중요 문서나 파일을 백업하는 습관이 중요하다”며 “윈도 사용자 백업 기능을 이용하면 피해를 최소화할 수 있다”고 말했다.

랜섬웨어에 감염돼도 윈도에서 복원시점을 설정하거나 사용자 파일 백업을 해두면 그 시점으로 돌아갈 수 있다. 사용자 파일 백업은 윈도가 설치된 로컬디스크가 아닌 다른 저장매체에 해야 한다.


김인순기자 insoon@etnews.com


브랜드 뉴스룸