이스트시큐리티(대표 정상원)는 국내 특정 단체의 공지로 위장된 이메일로 비너스락커(Venus Locker) 변종 랜섬웨어가 국내에 유포된다고 23일 밝혔다.
공격자는 한국 특정 연구소나 주요 기관 종사자를 대상으로 연말정산 안내, 내부 지침 사항 공지 등을 사칭해 메일을 보냈다. 법무법인에는 법률 상담 문의 메일을 보내는 등 국내 기업과 기관의 특징을 정확히 파악해 맞춤형 공격을 가한다.
이메일에 첨부한 랜섬웨어 악성 파일을 국내에서 널리 사용되는 압축 프로그램을 사용했다. 한글로 된 정교한 파일명을 사용하는 등 공격자가 한국 문화와 언어를 깊이 이해한다.
공격자는 신분을 숨기고 수사기관 추적을 회피하려고 다양한 국가에 기반을 둔 명령 제어(C&C) 서버를 이용한다. 초기에는 러시아 서버를 사용했지만 최근에는 네덜란드, 루마니아 등 서버의 소재지를 변경했다.
공격에 활용한 문서 파일 역시 한국어, 중국어, 폴란드어 등 다양한 국가의 언어를 사용해 작성했다. 김준섭 이스트시큐리티 부사장은 “랜섬웨어가 사이버 공격자의 주요 돈벌이 수단이 되면서, 공격 수법이 지능화된다”면서 “특히 최근 며칠 간격으로 꾸준히 제작되어 유포되는 한국 맞춤형 비너스락커 랜섬웨어는 실제 감염 피해 사례가 다수 보고돼 주의를 기울여야 한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com