랜섬웨어 피해가 줄어들 기미를 보이지 않는다. 사용자가 랜섬웨어 위험을 인식 하지만 공격자는 더 치밀한 공격을 시도해 피해가 확산된다. 조악한 한글 사용, 법 위반 통지문 등 단순 피싱 메일이 이제는 실제 기업을 사칭하거나 이야기를 섞은 메일을 보내는 방식으로 진화했다. 랜섬웨어 공격을 경험한 국내기업도 2년 사이 두 배가량 증가했다.
이스트시큐리티 등에 따르면 최근 상반기 채용시즌을 맞아 입사지원서 위장뿐 아니라 특정 기업 사칭 피싱메일, 개인디자이너 위장 등 '갠드크랩 랜섬웨어 5.2버전'이 기승을 부리는 것으로 나타났다. 이들 피싱 메일은 과거와 달리 한층 교묘하다.
저작물 위반으로 인한 통지서, 경찰서·공정거래위원회 사칭 소집 통지서 등 단순 사칭을 뛰어넘는다. 개인디자이너 사칭 메일은 '저작권법 문제가 있으나 실수가 있을 수 있다며 첨부파일에 동봉된 이미지를 확인해 다음부터 사용하지 말 것을 조심스럽게 권고'한다. 첨부파일에 동봉된 이미지를 다운로드 받아 열어볼 경우 갠드크랩 랜섬웨어에 감염된다. 파일은 'exe' 실행 파일이지만 파일명에 공백을 둬 사진(jpg)처럼 위장했다. 현재 해당 랜섬웨어 복구방법은 없다.
또 다른 공격은 국내 주요 해운회사를 사칭했다. 대구해양조선 참고 이미지 등을 메일 하단에 붙여 실제 기업에서 보낸 것처럼 위장했다. '견적 참여'를 유도하는 'HTML' 첨부파일을 동봉했다. 해당 파일을 열면 '코리아닷컴' 위장 피싱 페이지가 열리고 해당 로그인을 시도할 경우 아이디와 비밀번호가 공격자에게 전송된다. 이외 상반기 채용시즌을 노리고 입사지원서를 사칭한 피싱공격부터 공공기관 사칭 공격은 끊이지 않는다.
피해도 꾸준히 는다. 과학기술정보통신부 '2018년 정보보호 실태조사'에 따르면 최근 2년 랜섬웨어 피해를 입은 기업은 두 배가량 늘어난 것으로 나타났다. 악성코드, 애드웨어, 분산서비스거부(DDos) 등 사이버 공격에 대한 피해가 대부분 줄거나 전년과 비슷한 비율을 나타낸 것과 상반된다. 랜섬웨어 피해 경험은 2016년 18.7%에서 2017년 25.5%를 기록했고 지난해 절반이 넘는 56.3% 나타냈다.
전문가는 기본 습관이 중요하다고 조언한다. 대부분 사칭, 위장 등 사회공학적 방법을 동원하는 만큼 사용자 확인이 먼저다.
이상헌 한국인터넷진흥원 침해사고대응단장은 “랜섬웨어 감염방지를 위해 모르는 발신자로부터 전송된 메일은 내용과 첨부파일, 자주 이용하는 포털 URL까지 철저하게 확인하는 습관이 필요하다”면서 “불법사이트 이용을 피하고 소프트웨어(SW) 최신 업데이트 등을 통한 사전대비에도 신경써야 한다”고 조언했다.
정영일기자 jung01@etnews.com