국내 대상으로 유포 중인 헤르메스(Hermes) 랜섬웨어 변종이 발견됐다. 국내 백신 폴더를 감염제외 폴더로 설정했다. 국내를 표적 삼은 랜섬웨어 변종이 추가 등장할지 촉각이 곤두선다.
31일 안랩에 따르면 헤르메스 랜섬웨어 변종이 지난 27일 탐지됐다. tif, php, 1cd, 7z 등 776개 확장자 파일을 감염대상으로 삼은 기존 헤르메스 랜섬웨어와는 달리 exe, dll, lnk, ini, hrmlog를 제외한 모든 파일을 암호화한다.
안랩은 “(최근 유포된) 헤르메스는 변종”이라면서 “국내 사용자를 목표로 제작·유포되고 있다”고 전했다.
헤르메스 랜섬웨어는 'AhnLab' 폴더를 감염 제외 폴더로 삼았다. 안랩 백신 제품을 우회하기 위한 조치로 풀이된다. 이 때문에 국내를 표적 삼은 랜섬웨어일 가능성에 무게 중심이 쏠린다.
헤르메스 랜섬웨어는 지난해 첫 등장했다. 주로 메일 첨부파일로 유포되는 일반 랜섬웨어와 달리 웹 서핑만으로도 감염돼 위험성이 높다. 파일 암호화 후 윈도 복원 지점과 백업 파일을 삭제해 사용자 복구를 어렵게 만든다. 러시아, 우크라이나, 벨라루스 언어를 제외하고 감염 활동을 벌이는 점이 특징이다.
한국인터넷진흥원(KISA)은 국내 신고 사례는 없다고 밝혔다. 헤르메스 랜섬웨어 추가 변종이 유포되는 만큼 촉각을 곤두세운다.
이동근 KISA 침해사고분석단장은 “새 헤르메스 랜섬웨어는 안랩 폴더를 감염대상에서 제외한 것으로 보아 국내를 표적 삼은 것으로 보인다”면서 “관련 샘플은 국내 보안업체에 공유했고 추가 변종 출현가능성이 있어 상황을 예의 주시한다”고 말했다.
변상근기자 sgbyun@etnews.com
