악성코드로 상대방 PC를 암호화해 주인이 사용할 수 없도록 만든 뒤 해제 대가로 돈을 요구하는 랜섬웨어가 최근에는 자연스러운 한국어 이메일을 통해 접근하는 방식으로 진화하고 있다.
경찰청 사이버안전국은 신종 랜섬웨어 ‘비너스락커(Venuslocker)’가 숙박 예약 관련 문의, 입사 지원 등을 사칭한 한국어 이메일로 전파되는 사례를 다수 확인했다고 14일 밝혔다.
신종 랜섬웨어 비너스락커는 피해자의 PC파일 형태를 ‘.venusp’, ‘venusf’ 등 확장자로 암호화하는 방식에서 따온 이름이다. 작년 말부터 국내 공공기관과 소규모 업체 등에 유포되고 있으며, 올해 들어 피해 사례 10건이 접수됐다.
이번 랜섬웨어 범죄의 특징은 종전의 영문 이메일에 악성코드를 탑재한 파일을 첨부하는 방식과 달리 누가봐도 의심하기 어려운 자연스러운 한국어로 작성된 이메일로 악성코드를 유포한다는 점이다. 이메일에는 주로 여행업체 여행 관련 문의나 숙박업소 예약, 명함 제작 의뢰, 입사 지원, 연말 정산 등 일반 직장인들이 관심을 가질 만한 내용이 담겼다.
여기에 입사 지원서나 신분증 사본 등으로 위장한 파일에 악성코드가 첨부돼 사용자가 파일을 열면 PC가 암호화되고 PC 주인은 컴퓨터를 쓸 수 없게 된다. 첨부파일은 확장자를 문서파일(.doc)이나 그림파일(.jpg) 등으로 위장했으나, 실제로는 바로가기(.lnk) 확장자다. 이를 실행하면 함께 첨부한 다른 파일이 함께 열리면서 악성코드가 실행된다.
또 악성코드 분석을 방해하기 위해 소스코드를 읽기 어렵게 바꾸고, 연말정산이나 인사발령, 구인·구직 등 특정 시기에 맞춰 공격 대상자들에게 유포한다는 것도 종전과 다른 점이다.
암호를 풀기 위해서는 해커가 요구하는 상당의 돈을 지불해야 한다. 해커는 온라인상 가상화폐 1비트코인(현재 120만원 상당)을 72시간 내 입금하라고 요구한다.
경찰 관계자는 "유포자가 피해자와 이메일을 주고받는 등 기존의 랜섬웨어 사례와는 차별화한 양상을 보이고 있다"며 "자연스러운 한국어를 구사한다는 점에서 한국인이 범행에 가담한 정황이 보인다"고 말했다.
경찰은 비슷한 유형의 사건을 모아 수사에 착수했다. 또 ‘이창수’라는 이름의 발신자 계정(changsoo lee)이 쓰인 피해 사례와 대응 요령을 사이버안전국 홈페이지와 스마트폰 어플리케이션 ‘사이버캅’에 게시했다.
경찰은 랜섬웨어 피해를 막으 려면 출처가 불분명한 이메일의 첨부파일은 실행하지 말 것을 당부했다. 또 운영체제와 인터넷 브라우저 등을 최신 버전으로 업데이트하고, 보안 프로그램을 반드시 사용하되 랜섬웨어 전용 백신 프로그램을 사용하라고 조언했다. 이중 확장자(.doc.lnk 또는 .jpg.lnk)가 붙은 문서나 이미지 파일이 첨부된 경우 함부로 실행하지 않는 것이 좋다고 말했다.
경찰청 사이버안전국은 신종 랜섬웨어 ‘비너스락커(Venuslocker)’가 숙박 예약 관련 문의, 입사 지원 등을 사칭한 한국어 이메일로 전파되는 사례를 다수 확인했다고 14일 밝혔다.
신종 랜섬웨어 비너스락커는 피해자의 PC파일 형태를 ‘.venusp’, ‘venusf’ 등 확장자로 암호화하는 방식에서 따온 이름이다. 작년 말부터 국내 공공기관과 소규모 업체 등에 유포되고 있으며, 올해 들어 피해 사례 10건이 접수됐다.
이번 랜섬웨어 범죄의 특징은 종전의 영문 이메일에 악성코드를 탑재한 파일을 첨부하는 방식과 달리 누가봐도 의심하기 어려운 자연스러운 한국어로 작성된 이메일로 악성코드를 유포한다는 점이다. 이메일에는 주로 여행업체 여행 관련 문의나 숙박업소 예약, 명함 제작 의뢰, 입사 지원, 연말 정산 등 일반 직장인들이 관심을 가질 만한 내용이 담겼다.
여기에 입사 지원서나 신분증 사본 등으로 위장한 파일에 악성코드가 첨부돼 사용자가 파일을 열면 PC가 암호화되고 PC 주인은 컴퓨터를 쓸 수 없게 된다. 첨부파일은 확장자를 문서파일(.doc)이나 그림파일(.jpg) 등으로 위장했으나, 실제로는 바로가기(.lnk) 확장자다. 이를 실행하면 함께 첨부한 다른 파일이 함께 열리면서 악성코드가 실행된다.
또 악성코드 분석을 방해하기 위해 소스코드를 읽기 어렵게 바꾸고, 연말정산이나 인사발령, 구인·구직 등 특정 시기에 맞춰 공격 대상자들에게 유포한다는 것도 종전과 다른 점이다.
암호를 풀기 위해서는 해커가 요구하는 상당의 돈을 지불해야 한다. 해커는 온라인상 가상화폐 1비트코인(현재 120만원 상당)을 72시간 내 입금하라고 요구한다.
경찰 관계자는 "유포자가 피해자와 이메일을 주고받는 등 기존의 랜섬웨어 사례와는 차별화한 양상을 보이고 있다"며 "자연스러운 한국어를 구사한다는 점에서 한국인이 범행에 가담한 정황이 보인다"고 말했다.
경찰은 비슷한 유형의 사건을 모아 수사에 착수했다. 또 ‘이창수’라는 이름의 발신자 계정(changsoo lee)이 쓰인 피해 사례와 대응 요령을 사이버안전국 홈페이지와 스마트폰 어플리케이션 ‘사이버캅’에 게시했다.
경찰은 랜섬웨어 피해를 막으 려면 출처가 불분명한 이메일의 첨부파일은 실행하지 말 것을 당부했다. 또 운영체제와 인터넷 브라우저 등을 최신 버전으로 업데이트하고, 보안 프로그램을 반드시 사용하되 랜섬웨어 전용 백신 프로그램을 사용하라고 조언했다. 이중 확장자(.doc.lnk 또는 .jpg.lnk)가 붙은 문서나 이미지 파일이 첨부된 경우 함부로 실행하지 않는 것이 좋다고 말했다.
조선일보 이경민 기자 입력 : 2017.02.14