문서 암호화 후 금전 요구하는 랜섬웨어 악성코드 감염 주의

PC에 저장된 문서를 볼 수 없게 암호화하고 이를 풀어주겠다는 빌미로 돈을 요구하는 악성코드가 발견돼 사용자들의 주의가 필요하다.

통합보안전문기업 SGA(대표 은유진, www.sgacorp.kr)는 cryptolocker 라는 이름으로 문서나 사진 등을 암호화해 100시간 안에 300달러를 내면 암호를 풀어주겠다는 신종 악성코드가 발견됐다고 23일 밝혔다. 현재 발견된 악성코드는 페덱스나 TNT같은 유명특송업체에서 통관 문제로 인한 문제 해결을 위해 첨부파일을 열어보라는 형식으로 파일 오픈 시 악성파일에 자동감염된다. 한번 파괴된 문서들은 복구 방법이 없어 SGA는 이러한 행위를 자사 PC백신 ‘바이러스체이서’에서 진단 후 고객 및 일반사용자에게 긴급 안내하고 있다.

이번에 배포되고 있는 악성코드의 종류는 랜섬웨어(Ransomware)의 변종이다. 랜섬웨어란 납치, 몸값의 뜻을 가진 Ransom이란 말 그대로 PC의 특정파일을 암호화해 사용자가 정상적으로 사용하지 못하도록 만든 후 이를 볼모로 돈을 요구하는 악성파일을 의미한다. 이 악성코드는 감염 100시간이 지나면 암호화 키가 영구적으로 삭제돼 파일 복구가 불가능하다는 메시지와 함께 바탕화면에 시간을 표시해 피해자가 복구키를 구매하도록 유도한다. 300달러를 결제해 복구키 비용을 지불한다 하더라도 악의적 목적으로 만든 악성코드이기 때문에 문서가 복구된다는 보장이 없어 더욱 주의가 유도된다.

Trojan.Encoder.304로 진단된 이 악성코드는 두가지 프로세스로 작동하며 하나의 프로세스가 없으면 다시 실행시켜주는 구조이다. 이후 해당 프로세스는 주기적으로 특정 IP에 접속을 시도한다. 이 악성코드를 막기 위해서는 설치돼있는 PC백신의 실시간 감시기능을 활성화하고 윈도 및 응용 프로그램의 보안 업데이트를 최신화해야 한다. 또한 신뢰되지 않은 사이트의 접속을 자제하고 출처가 불분명한 이메일의 첨부파일 열람을 금지해야 한다.

SGA 코드분석센터 권진현이사는 “이번 악성코드는 메일주소에 트레이드(trade)를 쓰는 무역업 종사자를 대상으로 유명특송업체에서 보낸 메일처럼 꾸민 사회공학적 기법과 중요한 데이터를 볼모로 금전 결제를 유도하는 랜섬웨어 형식이 합쳐진 매우 악의적인 형태를 띄고 있다”며, “현재로서는 한번 암호화된 문서를 복구할 수 있는 방법이 없기 때문에 이러한 악성코드에 감염되지 않도록 PC에 설치된 백신프로그램을 지속적으로 업데이트하는 등 각별한 주의가 요구된다”고 말했다.