[정보보호]치료 가능한 랜섬웨어도 발견

원본 파일을 복원할 수 있는 랜섬웨어가 발견됐다.

안랩(대표 권치중)은 국가안보국(National Security Burea)을 가장한 랜섬웨어는 안티바이러스 솔루션으로 원본 파일 복원이 가능하다고 밝혔다.

랜섬웨어에 감염된 파일은 복구가 거의 불가능한 것으로 알려졌다. NSB 사칭 랜섬웨어에 감염된 파일은 고유한 알고리즘에 의해 백업된 형태로 존재한다. 안티바이러스 프로그램으로 치료가 가능한 형태다.

NSB 랜섬웨어에 감염되면 PC에 ‘불법 소프트웨어가 탐지돼, 시스템 사용을 차단했습니다’란 메시지가 뜬다. 메시지에는 차단된 파일 개수를 명시하며 돈을 지불하지 않으면 관련 파일을 제거한다는 경고문이 올라온다. 공격자는 250달러를 복구비용으로 제시한다. 비트코인으로 지불을 요구한다.

이 랜섬웨어에 감염되면 윈도 탐색기 등 특정 윈도를 강제 종료하는 기능으로 정상적인 PC 사용이 어렵다. 공격자는 PC 사용을 제한하기 위해 강제 종료 기능을 수행했다. 메시지 화면 하단에 돈을 지불하는 데 필요한 인터넷 브라우저나 노트패드 등만 제한적으로 실행하도록 별도의 메뉴를 남겨둔다.

NSB 랜섬웨어 감염 증상은 일반적인 형태지만 백신 프로그램으로 복호화가 된다. 감염 전 원본파일이 악성코드에 의해 고유한 알고리즘으로 암호화돼 백업된 탓이다.

안랩은 관련 랜섬웨어를 ‘Win32/Nabucur’로 진단한다. 안랩은 “주로 해외에서 확산되던 랜섬웨어가 국내에도 유입되며 피해를 입는 기업이 늘고 있다”며 “대부분 랜섬웨어에 감염된 원본파일은 백신 프로그램으로 복구가 불가했는데 NSB 랜섬웨어처럼 치료가 가능한 형태도 확인됐다”고 설명했다.

김인순기자 insoon@etnews.com