데이터 인질삼아 돈 요구 디도스 공격까지…악성코드 삽입방식 보안백신 탐지 우회

컴퓨터 내 중요 자료를 암호화 해놓고 이를 인질 삼아 돈을 요구하는 악성코드 '크립토락커 랜섬웨어'가 분산서비스거부(DDoS; 이하 디도스) 공격 기능까지 갖춘 변종 형태로 퍼지고 있다. 변종이기 때문에 보안 백신으로 잡아낼 수 조차 없다. 랜섬웨어 유포에는 한국인 해커가 조직적으로 참여했다는 정황도 포착됐다.

3일 보안 업계에 따르면 랜섬웨어가 국내에 걷잡을 수 없이 퍼지는 양상이다. 최근에는 주요 파일을 인질삼아 돈을 내 놓으라는 협박 수준을 넘어 컴퓨터 하드디스크를 파괴하고 타 시스템을 공격하는 디도스 기능까지 장착한 변종 랜섬웨어도 발견됐다.

안랩 측은 "파일 암호화 외에 디도스 공격이 추가된 변종 랜섬웨어가 발견됐다"고 경고하면서 "디도스 기능을 하는 악성코드는 파일형태로 만들어지는 일반적인 방식이 아니라, 변종 악성코드에 최초 감염된 상태에서 사용자의 인터넷 브라우저를 몰래 자동 실행해 디도스 공격을 하는 '코드 삽입 방식(인젝션 방식)'으로 동작한다"고 설명했다. 악성코드가 파일형식으로 만들어지지 않았기 때문에 악성파일을 잡아내는 보안 백신 탐지기능을 우회한다. 한마디로 시중의 일반 백신은 변종 랜섬웨어를 잡아내지 못한다는 의미다.

이 악성코드는 지난 4월21일 국내 유명 온라인 커뮤니티 클리앙에서 유포된 한글형 랜섬웨어와 동일한 기능을 가지고 있으며, 감염 시 이용자의 파일을 암호화하고 금전을 요구한다. 여기에 'Nitol'이라는 디도스 공격 목적의 악성코드를 인젝션 방식으로 끼워 넣어 작동시킨다. 해당 기능이 활성화되면 특정 공격명령(C&C) 서버에 접속해 이용자의 PC정보를 유출할 뿐만 아니라, 공격자의 명령에 따라 디도스 공격을 수행한다.

보안 전문가들은 최근 국내에 급격히 퍼지고 있는 랜섬웨어가 외국의 랜섬웨어 공격 방식을 그대로 채용하면서도 완벽한 한글 문장을 사용하고 보안이 취약한 커뮤니티 등을 집중적으로 노리는 등 국내 상황을 교묘히 이용한 '맞춤형 공격'을 자행하는 것으로 미루어 한국인 해커가 공격에 참여하고 있는 것으로 파악하고 있다.

조지 하마다 시만텍 본사 연구원은 공식 홈페이지를 통해 "최근 사이버 범죄자들은 일본, 한국 등 극동아시아 국가에 집중적으로 랜섬웨어를 유포하고 있다"면서 "극동아시아 국가는 발달된 초고속 인터넷 인프라와 무선인터넷 환경을 갖추고 있으며 이용자 역시 인터넷 서비스 이용 비중이 매우 높아 랜섬웨어 감염 확률 또한 높기 때문에 사이버 범죄자들의 표적이 되고 있다"고 경고했다.

하마다 연구원은 이어 "비영어권 국가에서는 외국어로 '몸값'을 요구해봤자 공격 효과가 높지 않기 때문에 일본인이나 한국인 등 해당 국가 언어 능통자를 사이버 범죄 조직에 참여시켜 자국어로 협박하고 있다"고 덧붙였다.

이러한 랜섬웨어에 감염되지 않으려면 보안 백신을 최신 버전으로 유지하고 윈도XP나 구형 어도비 플래시 플레이어, 마이크로소프트 오피스 및 인터넷 익스플로러를 최신 버전으로 업그레이드 해야 한다. 하지만 해커는 이 소프트웨어의 취약점을 지속적으로 발견해 또 다른 형태로 공격하기 때문에 사실상 이용자는 대응할 수 있는 방법이 없다.

보안 전문가는 "현재로선 취약점을 악용해 공격하는 사이버 범죄를 완벽히 차단할 수 있는 방법은 사실상 없다"면서 "결국 중요자료는 온라인 저장 서비스나 외장형 하드디스크 등을 통해 별도 장소에 보관(백업)하는 습관을 들여야 한다"고 설명했다.

강은성기자 esther@dt.co.kr

디지털타임스