"1분기 랜섬웨어, 멀버타이징 등 수법 다양해져"

(서울=연합뉴스) 윤보람 기자 = 올해 1분기에는 랜섬웨어의 유포 형태와 방식이 눈에 띄게 다양해진 것으로 나타났다.

보안업체 안랩[053800]은 6일 올 1분기 국내 및 해외에서 발견된 주요 랜섬웨어 13종의 특징과 흐름을 분석한 '1분기 랜섬웨어 트렌드'를 발표했다.

랜섬웨어는 컴퓨터 사용자의 중요 자료나 개인정보를 암호화해 '인질'로 삼은 뒤 이를 복구하는 조건으로 돈을 요구하는 유형의 악성코드다.

일단 감염되면 사용자 PC의 각종 데이터가 암호화돼 사용자도 접근이나 사용이 불가능한데, 공격자는 데이터의 암호를 풀어주겠다며 일정 금액을 내라고 요구한다.

안랩은 우선 랜섬웨어의 유포 방식이 다양해졌다고 분석했다.

이메일 첨부파일이나 메신저 전파 같은 고전 기법에 더해 각종 응용프로그램, 운영체제(OS), 웹 취약점 등을 활용하는 식으로 확대됐다는 것이다.

또 국내외 웹사이트와 연계해, 동작하는 광고 사이트의 정상적인 네트워크를 악용하는 멀버타이징(Malvertising)을 비롯해 사용자의 PC가 직접 서버가 돼 사용자끼리 파일을 공유하는 토렌트 서비스를 악용하는 등 감염 효과를 극대화하려는 여러 시도가 발견됐다.

유포 파일의 형태도 다양해져 기존에는 문서(.doc, .pdf), 화면보호기(.scr) 등을 주로 이용했지만 이제는 매크로, 자바스크립트(.js)까지 추가로 활용하는 것으로 나타났다.

최근 이슈가 된 록키(locky) 랜섬웨어는 원래 미국, 일본, 중국 등 해외에서 온 송장(invoice), 지급(Payment) 등을 위장한 정상 문서파일에 악성 매크로를 넣어 실행을 유도함으로써 랜섬웨어를 외부에서 내려받는 방식이었다.

그런데 이런 수법이 공개된 이후에는 첨부파일에 프로그래밍 언어인 자바 스크립트(.js)를 포함해 실행 시 랜섬웨어가 침투하는 방식의 변종이 발견됐다.

아울러 안랩은 랜섬웨어가 '서비스화'되고 있다고 분석했다. 랜섬웨어 제작을 대행하거나 입금을 유도하는 채팅을 하고 수준 높은 디자인을 적용하는 등 랜섬웨어 유포를 돕는 각종 서비스가 등장했다는 것이다.

감염 피해를 막으려면 ▲ 수상한 이메일 첨부파일 및 URL 실행 금지 ▲ 중요한 데이터는 외부 저장장치로 백업 ▲ 백신 최신 업데이트 유지 ▲ OS·SW프로그램의 최신 보안패치 적용 ▲ 신뢰할 수 없는 웹사이트 방문 자제 등 기본 보안 수칙을 생활화해야 한다고 안랩은 당부했다.

bryoon@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2016/04/06 09:58 송고