내부 문서를 암호화 한 후 금전을 요구하는 랜섬웨어(Ransom ware)의 유포 방식이 갈수록 고도화되고 있어 이용자들의 각별한 주의가 요구된다.
미국 인터넷 범죄 신고 센터에 의하면 2014년 4월부터 지난해 6월 사이 992건의 크립토월(Crypto Wall)·랜섬웨어 관련 신고를 접수했고 이에 따른 피해 규모는 1,800만달러(한화 기준 약 210억원)로 추산될 만큼 피해가 심각하다.
국내에서도 랜섬웨어는 심각한 문제로 대두되고 있다. 지난해 업계 추산 국내 랜섬웨어 피해액은 1,000억원 규모로 올해는 약 3,000억원대의 피해와 15만명의 감염자를 양산할 것으로 전망된다.
해커들은 지난 몇 년 새 유포 경로를 넓힌 것은 물론 악성코드를 담은 파일 유형도 확대하는 모습이다. 최근에는 이러한 랜섬웨어를 제작해 주는 업체까지 등장해 그 심각성이 더해지고 있다.
■ 유포 방식 다각화…주문식 악성코드도 등장
일반적인 랜섬웨어는 이메일 첨부 파일과 메신저로 전파되는 경우가 대부분이었다. 2014년 발견된 '크립토락커'만 해도 문서파일로 위장한 이메일 첨부파일과 관련 조직 내부에서 사용하는 메신저 프로그램의 대화 메시지를 통해 유포하는 수준에 그쳤다.
때문에 첨부 파일을 내려받지 않고 의심가는 메일만 삭제하면 악성코드에 감염될 염려가 없었다.
▲ 안랩 제공
그러나 보안 전문 기업 안랩이 발표한 '1분기 랜섬웨어 트렌드'를 살펴보면 기존 고전 기법에 다양한 유포 방식이 더해진 것으로 조사됐다.
지난 1분기에는 전통적 방식 외에 운영체제(OS), 응용 프로그램, 웹 서버 보안 취약점을 활용하는 방식들이 발견됐다. 국내외 웹 사이트와 연계돼 동작하는 광고 사이트의 네트워크를 악용하는 '멀버타이징(Malvertising)'과 사용자끼리 파일을 공유하는 토렌트(Torrent)서비스를 악용하는 등 감염 효과의 극대화를 노린 시도가 늘고 있다.
랜섬웨어 유포를 위해 위장하는 파일 종류도 많아졌다. 초기 랜섬웨어는 문서파일(.doc, .pdf)로 위장하거나, 화면 보호기 파일(.scr)로 유포됐지만 올 1분기에는 파일 유형도 다양해 진 것으로 나타났다.
특히 '록키(locky) 랜섬웨어'는 미국, 일본, 중국 등 해외에서 온 송장 및 결제를 위한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도한 것으로 전해졌다. 첨부파일에 프로그래밍 언어인 자바 스크립트(.js)를 포함시켜 사용자가 파일을 실행하면 랜섬웨어를 자동으로 내려 받게 하는 변종까지 발견돼 각별한 주의가 요구된다.
▲ 록키 랜섬웨어 감염화면. 안랩 제공
기존 랜섬웨어에는 없었던 새로운 변화도 나타났다. 랜섬웨어를 제작·배포하려는 사람을 대행해 제작해주는 'RaaS(Ransomware as a service)'가 등장한 것.
관련 제작자들은 랜섬웨어의 전파 및 감염 현황에 대한 정보를 '고객'에게 제공한다. 감염자를 대상으로 현재 상황과 입금방법을 상담하는 '라이브챗' 기능이 탑재된 랜섬웨어도 등장했다. 이 밖에 디자인도 정식 서비스처럼 수준 높게 구성해 피해자가 구제 서비스를 받는 것처럼 착각하도록 제작된 랜섬웨어도 있었다.
■ 확대되는 랜섬웨어, 내 PC 지키는 방법은
이처럼 랜섬웨어가 다양하게 확산되면서 예방책이 화두로 떠올랐다. 일반 사용자들이 이를 예방하기 위해서는 어떤 방법을 취해야 할까.
보안 프로그램 '알약'을 서비스하는 이스트소프트가 랜섬웨어 피해 사례를 분석한 결과 감염 경로는 출처가 불분명한 이메일 첨부 파일 열람, 변조된 사이트 접속 및 인터넷 커뮤니티 배너 광고 클릭, 애드웨어 서버 변조, 해외 불법 스트리밍 사이트 접속, 토렌토 등 일부 P2P 프로그램 사용 등으로 나타났다.
전문가들은 랜섬웨어의 경우 수많은 신변종이 지속적으로 발생하고 있기 때문에 기본 안전 수칙을 생활화 하는 자세가 필요하다고 강조했다.
특히 최근에는 스마트폰 인구가 확산됨에 따라 모바일로 확산될 수 있는 경로를 차단하는 것이 필수라고 덧붙였다. 해외에서는 이미 지난해 안드로이드 대상 랜섬웨어 샘플이 10배 이상 증가했고 감염 사례도 발견된 바 있다. 국내에서도 PC 환경에서와 마찬가지로 '한글버전 스마트폰 랜섬웨어'가 발생할 가능성이 높은 상황이다.
구체적인 예방법으로는 이메일 첨부파일 및 수상한 URL 실행을 금지하고 중요한 데이터의 경우 외부 저장장치에 옮겨 놓는 것이 좋다. 이는 PC와 태블릿, 스마트폰 등 모든 기기에 해당하는 주의 사항이다.
▲ 이스트소프트 제공
록키 랜섬웨어의 경우 압축파일(.zip) 형태의 첨부파일에 악성 자바 스크립트(.js)를 포함하고 있기 때문에 첨부파일에 관련 확장자가 포함돼 있다면 악성코드를 의심해 봐야 한다. 프로그래밍 언어인 자바 스크립트가 단독으로 첨부파일 등에 사용되는 것은 일반적이지 않는 경우라고 보안 전문가들은 경고했다.
더불어 백신 프로그램과 OS 보안패치를 최신화 하고 신뢰할 수 없는 웹사이트 방문을 자제하는 것이 랜섬웨어로부터 유입 경로를 차단하는 방법이다.
박태환 안랩 ASEC대응팀 팀장은 "2013년부터 미국, 중국, 일본, 독일, 영국 등 글로벌 지역에서 피해를 기록한 랜섬웨어는 점점 버전 업그레이드나 다른 영역과 제휴하며 서비스 체계까지 갖춰고 있다"며 "앞으로 랜섬웨어는 더욱 교묘해지고 고도화할 가능성이 높아 법인 및 개인 사용자들의 세심한 주의가 필요하다"고 말했다.
채성오기자 cs86@sporbiz.co.kr
기사 URL이 복사되었습니다.
댓글0