지금까진 시작에 불과했나? 랜섬웨어 공격 ‘집중포화’

국내 웹사이트에서 익스플로잇 킷 악용, 한글판 크립토락커 변종 등장

[보안뉴스 김경애] 국내에서 익스플로잇 킷(이하 EK)을 통해 랜섬웨어를 유포하는 사이트가 줄줄이 포착됐으며, 한글 버전의 크립토락커(CryptoLocker) 변종도 발견돼 이용자들의 주의가 요구된다.

1. EK 통해 랜섬웨어 유포
지난 21일에는 국내에 EK를 통해 랜섬웨어를 유포하는 사이트가 줄줄이 포착됐다. 이번에 발견된 랜섬웨어는 EK를 통해 유포되며, 공격자가 감염되는 PC마다 랜섬웨어 악성코드가 위치한 최종 바이너리 유포지 주소를 새로운 주소로 할당한다. 할당된 주소는 30분 정도만 지나면 사라지는 것으로 분석됐다.

이를 분석한 하우리 최상명 CERT 실장은 “랜섬웨어를 네트워크 기반에서 차단하는 것이 점점 어려워지기 때문에 엔드포인트단에서 행위기반으로 랜섬웨어를 차단하는 것이 필요하다”고 당부했다.

2. 한글판 크립토락커 변종 등장
한글판 크립토락커(CryptoLocker) 변종도 발견됐다. 지난 20일 악성코드 공유 사이트인 바이러스토탈에 크립토락커 변종이 등록됐다.

CheckMAL 자체 진단명은 ‘Trojan/Ransom.CryptoLocker’이며, ‘파일 위치는 C:\ProgramData\PDF 문서이며, 아이콘 모양의 EXE 실행 파일이다.

이와 관련 보안전문 파워 블로거 울지 않는 벌새(이하 벌새)는 “악성 파일이 실행되면 자신을 프로그램 데이터(ProgramData) 폴더 내에 PDF 문서 아이콘 모양으로 추가해서 윈도우 실행시 자동 실행되도록 구성되어 있다”며 “이를 통해 explorer.exe 시스템 프로세스에 인젝션되어 파일 암호화(.encrypted)를 진행하고 돈을 요구하는 메시지를 생성한다”고 설명했다.

특히, 이번에 발견된 랜섬웨어 변종의 경우 기존과 다른 특이사항이 발견됐다. 보통 메시지는 txt, html, 그림 파일로 표시되나, 이번에 발견된 메시지는 explorer.exe 프로세스를 띄우고 있다. 이는 해당 프로세스를 사용자가 직접 종료해야 하는 구조라는 것.

이처럼 랜섬웨어 유포방식이 점점 확대되고, 지능화되는 양상이다. 이에 대해 벌새는 “개인 사용자들에게 보안 업데이트를 강조하고 메일내 첨부파일 클릭에 주의하라고 하지만 이들 유포 방식이 점점 다양화되고 있어 대응이 쉽지 않다”며 “특정 보안 솔루션이나 웹 브라우저(Chrome)만 사용하면 감염되지 않는다는 생각은 버려야 하며, 보안이슈에 좀 더 관심을 가지고 상호 보완적인 솔루션으로 대응하는 것이 바람직하다”고 밝혔다.

한편, 크롬은 지난 14일(47.0.2526.111), 16일(47.0.2526.111), 21일(48.0.2564.82) 취약점을 각각 패치했다. 따라서 이용자들은 크롬을 최신 버전으로 업데이트하는 것이 바람직하다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)