급여 명세서를 이메일로 받을 때 주의를 기울이지 않으면 큰 손해를 볼 수 있다. 명세서에 PC에 저장된 파일을 암호화하는 랜섬웨어가 숨겨져 있을 수 있어 긴장을 늦추면 안 된다.
안랩은 10일 급여 명세서로 가장한 랜섬웨어를 발견했다고 밝혔다. 랜섬웨어는 사용자의 중요한 자산을 인질로 잡고 금전적인 요구를 하는 악성 프로그램이다. 랜섬웨어는 이미 오래 전부터 발견됐지만 점점 수법이 정교해지며 피해가 늘었다. 안랩이 발견한 랜섬웨어는 인사나 급여 등 사용자 관심을 유발하는 내용을 포함했다.
공격자는 PDF 파일 형태로 된 급여 명세서를 첨부한 메일을 발송했다. 매달 급여 명세서를 이메일로 받는 사용자는 의심 없이 PDF 파일을 열었다. 하지만 파일이 보이지 않고 PC도 아무런 반응이 없다. PDF파일 아이콘으로 위장한 실행 파일 형태 악성코드다.
얼마 지나지 않아 갑작스럽게 인터넷 창과 메모장이 자동 실행된다. 메모장에는 ‘암호화된 파일을 해제하는 법’이 들어있다. 사용자는 악성코드를 실행했음을 알아차렸지만 이미 PC내 모든 문서와 이미지 파일은 암호화돼 실행되지 않았다.
랜섬웨어를 실행하면 경로에 ‘vccah.exe’ 파일을 자가 복제로 생성한다. 이 악성코드는 원본 파일을 삭제한 뒤, 명령&제어(C&C) 서버로 추정되는 특정주소에 접속해 악성행위에 필요한 파일을 추가로 내려 받는다.
공격자는 암호화된 파일을 풀어주는 대가로 비트코인 결제를 요구한다. 사용자가 암호화된 파일을 복구하려고 결제를 해도 해당 파일의 복구 가능성 여부는 불투명하다. 안랩은 급여 명세서 위장 랜섬웨어가 자체 전파 기능을 없지만 메일이나 메신저, 게시판 등에서 다운로드돼 실행할 수 있어 주의를 요구했다. 안랩은 V3로 이 악성코드를 진단하고 치료한다. 백신을 항상 최신 상태로 유지하고 출처가 불분명한 실행파일(SCR, EXE) 등의 다운로드나 실행에 각별한 주의가 필요하다.
김인순기자 insoon@etnews.com