매끄러운 한국어를 구사하는 `한국형` 랜섬웨어가 늘었다. 시기별로 관심이 집중되는 주제로 유포 메일 내용과 악성 파일 이름을 꾸민다. 교묘한 사회공학적 기법을 활용해 사용자가 스스로 악성 파일을 직접 실행하도록 속인다.
10일 업계에 따르면 최근 국내 사용자를 대상으로 연말정산 안내와 사내 내부지침 공유 문서 등으로 위장한 사회공학적 랜섬웨어 유포 시도가 기승을 부린다. 한국어 구사 능력과 주제 선정 방식으로 미뤄보아 국내 사정이나 기업 환경을 잘 아는 한국인 공격자가 랜섬웨어 비즈니스에 개입한 가능성도 제기된다.
사용자 파일을 암호화하고 풀어주는 대가를 요구하는 랜섬웨어는 주로 해외에서 개발됐다. 국내에선 2015년 온라인 커뮤니티에서 발생한 대량 유포 사건을 시작으로 지난해 피해가 급증했다. 웹사이트 배너 광고 취약점을 악용한 멀버타이징 기법과 악성 이메일을 통한 유입이 주를 이뤘다.
최근 등장한 한국형 랜섬웨어 주 유포 경로는 이메일이다. 기존 랜섬웨어가 일부 몸값 지불 페이지 등을 번역기를 돌린 듯 어색한 한국어로 안내한 것과 달리 능숙한 문법으로 메일 내용을 작성했다.
최상명 하우리 실장은 “유포된 악성코드를 분석해 안에 포함된 경로를 확인해 보니 특정 폴더명 생성 기능을 가진 국산 압축 프로그램 이용 정황이 발견됐다”면서 “아직 공격자가 명확히 밝혀지지 않아 국적을 특정하긴 어렵지만 한국어를 능숙하게 구사하는 것으로 보인다”고 말했다.
지난해 말 하우리가 주의를 당부한 `연말정산 안내` 가장 랜섬웨어는 국내 주요 산업기반 시설을 겨냥해 유포됐다. 시기적으로 사회적 관심이 높은 사안으로 메일 내용을 꾸미고 `13월의 보너스라는 연말정산` 등 자연스러운 표현을 사용했다. 보안을 위해서라며 악성 문서파일이 포함된 압축파일에 비밀번호까지 걸었다.
이스트소프트도 이달 초 `사내 내부지침 공유`로 위장한 비너스락커 변종 랜섬웨어가 국가기관과 기업을 대상으로 다량 유포된 정황을 발견해 경고했다. 조직 개편 등 신년을 맞아 기관과 기업 내부 변동이 많이 발생하는 시점을 노렸다. `내부문서라 보안을 위해 비밀번호를 걸었다`거나 `외부로 유출되면 차후 불이익을 받을 수 있다`는 등 표현으로 사용자 호기심을 자극했다.
외화벌이와 사회 혼란을 노린 북한 해커가 랜섬웨어를 적극 사용할 가능성도 점쳐진다. 랜섬웨어 제작과 유포를 대행해주는 `서비스형 랜섬웨어(RaaS)`도 등장하면서 해외 해커에 의해 제작된 랜섬웨어를 국내 사정에 익숙한 내국인이 구매해 유포할 가능성도 높다.
다양한 랜섬웨어 대응 전문 솔루션이 등장하고 기본 안티바이러스(백신)에도 관련 기능이 탑재됐지만 사용자가 직접 악성파일을 실행하면 감염을 차단하기 쉽지 않다. 사회 관계적 요소와 심리적인 부분을 파고든 사회공학적 기법이 무서운 이유다. 주요 자료를 항상 백업해두고 메일을 열어보기 전 발신인을 확인하는 등 사용자 주의가 필요하다.
박정은기자 jepark@etnews.com
