내 컴퓨터 볼모로 돈 요구하는 해커, 한국어까지

머니투데이

진달래 기자

지난 20일 국내 한 유명 커뮤니티 웹사이트는 해커들의 놀이터가 돼버렸다. 3일 간이나 악성코드 유포지로 활용된 것. 웹사이트 방문자들에게 무작위로 뿌려진 악성코드는 '랜섬웨어'의 일종이었다.

랜섬웨어는 컴퓨터에 저장된 데이터를 사용자 몰래 암호화한 후 이를 복구해주는 조건으로 돈을 요구하는 신종 사이버 범죄다. 이번에 발견된 '크립토락커'는 랜섬웨어의 한 종류로, 심지어 한국어로 만들어져 국내 시장이 직접적인 공격 대상이 됐음을 보여줬다.

보안전문가들은 기존에 이메일을 통해 전파되던 형태와 달리 이번에 발견된 크립토락커는 드라이브 바이 다운로드(Drive-by Downloads) 방식으로 유포됐다는 점에 주목했다. 웹서버 취약점을 악용해 사용자가 웹사이트에 방문 만해도 감염시키기 때문에 확산 속도가 매우 빠르다.

이번에 발견된 크립토락커 분석 결과, 감염된 PC의 시스템 파일을 제외한 마이크로소프트(MS) 오피스 계열 및 한글 문서 파일, 압축 파일, 동영상‧사진 등을 무단으로 암호화했다. 이후 암호를 풀어주는 조건으로 96시간 내에 돈을 달라고 요구한다. 추적을 피하기 위해 비트코인으로 지불하도록 했다.

물론 범인에게 돈을 준다고 하더라도 암호화된 파일을 실제 복구해줄 지는 장담할 수 없다.

한국인터넷진흥원(KISA)이 국내외 백신사와 공조해 악성코드 샘플 공유 및 유포지, 경유지 차단 등 조치를 취했지만 추가 피해 우려는 남아 있다. 한국어판까지 준비하면서 국내를 공격으로 삼은 만큼 변종 랜섬웨어와 악성코드 유포지가 더 나올 수 있을 것으로 보안전문가들은 예상했다.

보안기업 하우리는 랜섬웨어 감염 예방 수칙으로 △취약성 공격 차단 프로그램 사용 △스팸 메일 첨부파일 실행 금지 △중요 문서 및 파일 백업 필수 △운영체제 및 각종 응용프로그램 보완 업데이트 진행 △백신 프로그램 최신 업데이트 유지 등을 제시했다.

KISA 관계자는 개인 사용자 뿐 아니라 웹사이트 관리자들도 웹서버 보안에 각별히 신경써야 한다고 당부했다.