경찰이 수사에 착수했지만 3년째 꼬리가 잡히지 않은 '넴티 랜섬웨어' 공격자가 최근 들어 공격을 더욱 노골화한 것으로 나타났다. 넴티 랜섬웨어 배후로 추정되는 '비너스락커' 조직은 해외 이메일 계정이 아닌 국내 유명 포털 이메일 계정을 활용해 랜섬웨어를 유포하는 등 무감각해진 국내 보안 의식을 악용하고 있다.
안랩 시큐리티대응센터(ASEC)와 이스트시큐리티 시큐리티대응센터(ESRC)는 업데이트된 넴티 랜섬웨어 버전이 국내 유포 중이라고 경고했다. 넴티 랜섬웨어는 한달간 2회 이상 업데이트를 진행할 정도로 매우 빠르게 변종이 제작되고 있다. 국내 보안 연구진은 2017년 한글 이메일 형태로 유포되는 넴티 랜섬웨어를 포착하고 지속 경고해 왔지만 현재까지도 감염 사례는 속출한다.
최근 발견된 넴티 랜섬웨어 변종은 공정거래위원회를 사칭한다. 공정위 사칭은 2018년부터 쓰인 수법으로 악성 기능이 일부 수정됐다. '부당 전자상거래 위반행위 안내' 등 제목으로 이메일을 유포하는데 첨부파일 내 문서 아이콘을 PDF처럼 보이게 만들어 악성 실행파일임을 숨겼다.
6일 안랩에서 발견한 악성 첨부파일은 '사용중_이미지_200106(꼭 확인하시고 조치부탁드릴께요)' '전산 및 비전산자료 보존 요청서(20200106)자료 반드시 준비해주세요' 등 제목으로 유포됐다.
넴티 랜섬웨어는 2016년 말 한글 이메일 형태로 국내에서 처음 유포되기 시작했다. 한글 이메일 형태로 랜섬웨어가 유포된 최초 사례로 입사지원서, 상담·문의 등을 가장했다. 감염되면 브라우저 계정 정보와 히스토리, 시스템 정보, 암호화폐 지갑 정보를 빼돌린 후 암호화한다. 복호화 대가로는 1비트코인을 요구한다.
경찰은 공격자가 자연스러운 한국어를 구사하는 점에 착안해 2017년 초 수사에 착수했지만, 현재까지 별다른 성과를 도출하지 못했다. 지난해 초 공격자는 경찰을 사칭한 랜섬웨어를 유포해 마치 경찰을 조롱하는 태도를 보이기도 했다.
문종현 ESRC 센터장은 “넴티 랜섬웨어 공격자는 2~3년째 한국을 유린하고 있다”면서 “예전에는 해외 이메일 계정을 쓰거나 직접 만든 이메일 계정으로 랜섬웨어를 유포했다면 최근에는 국내 유명 포털 이메일을 활용해 유포하는 등 노골적인 모습을 보인다”고 말했다.
보안업계에서 넴티 랜섬웨어 유포 확산과 위험성을 지속 알리고 있지만 일반적인 보안 관심이 낮아진 점도 공격자에게 유리한 환경이 되고 있다고도 지적했다. 문 센터장은 “넴티 랜섬웨어 위협을 계속 알려 왔지만 일반에선 무관심, 무감각한 상황이 지속되다 감염 후에야 후회하는 경우가 많다”면서 “이용자 무관심은 공격자에겐 굳이 다크웹을 이용할 필요조차 없어진 범죄에 유리한 환경이 된 것”이라고 우려했다.
오다인기자 ohdain@etnews.com