신종 랜섬웨어 ‘락빗’ 등장...타깃형 랜섬웨어 특징 갖춰

아직 국내 유포 확인되지 않았지만, 국내 주요 기관의 주의 필요

[보안뉴스 원병철 기자] 신종 랜섬웨어 ‘락빗(LockBit)’이 발견돼 주의가 요구된다. 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수, 이하 센터)는 지난 1월 7일에 ‘락빗(LockBit)’ 랜섬웨어 악성코드를 입수해 분석했다고 알렸다. 주로 국외에서 유포되고 있는 이 랜섬웨어는 지금까지 국내에서는 유포된 바가 포착되지 않았지만, 타겟형 랜섬웨어의 특징을 지니고 있다는 점에 국내 기관 및 기업들의 주의가 요구된다.

▲‘락빗(LockBit)’ 랜섬웨어 랜섬노트[이미지=순천향대 SCH사이버보안연구센터]

지난해 중순부터 외국에서 출현되고 있는 ‘락빗(LockBit)’은 기존 랜섬웨어들과는 다르게 Tor 브라우저를 사용하지 않고, 금전을 요구하는 이메일이 명시되어 있다. 이전 갠드크랩(GandCrab)과 같은 서비스형 랜섬웨어(RaaS)는 암호화 된 파일의 복구를 위해 토르(tor) 브라우저를 통해 금전을 요구하지만, ‘락빗(LockBit)’ 랜섬웨어는 파일 복구에 대한 금전 요구를 특정 이메일을 제시했다는 점에서 RaaS형 랜섬웨어로 보이지 않는다고 센터는 분석했다.

서비스형 랜섬웨어(RaaS, Ransomware-As-A-Service)란, 랜섬웨어의 제작자가 공격자에게 악성코드를 원하는 형태로 만들어 판매하는 형태로 존재하는 일종의 랜섬웨어 서비스다. 2018년 전 세계로 널리 퍼져 큰 파장을 일으켰던 갠드크랩(GandCrab) 랜섬웨어와 케르베르(CERBER) 랜섬웨어가 이에 해당한다.

이번에 분석된 ‘락빗(LockBit)’ 랜섬웨어 악성코드는 감염 이후 바탕화면을 변경해 감염 사실을 알린다. 피해자가 랜섬노트에 명시된 이메일을 통해 복구할 감염된 파일과 랜섬노트에 생성된 ID를 전송하면, 공격자는 복호화된 파일을 전송하도록 유도하는데, 이는 피해자에게 데이터 복구 가능성을 보여주는 것으로 보인다. 변경된 바탕화면에서 공격자는 자신을 락빗(LockBit)이라 칭한다.

▲‘락빗(LockBit)’ 랜섬웨어 감염 후 변경된 바탕화면[이미지=순천향대 SCH사이버보안연구센터]

‘락빗(LockBit)’ 랜섬웨어는 피해 PC 내 일부 파일(부팅에 필요하거나, 필수적인 파일 등)을 제외한 모든 확장자를 암호화한다. ‘락빗(LockBit)’ 랜섬웨어 악성코드의 공격 대상 파일 확장자는 ‘abcd’다. 악성코드 감염 이후 변경되는 바탕화면 파일을 시스템의 임시폴더(%TEMP%)에 생성하며 파일명은 매번 다르게 저장된다. 현재 센터에서 발견한 ‘락빗(LockBit)’ 랜섬웨어는 ‘(4자리의 문자와 숫자의 조합).tmp.bmp’을 이용하고 있다.

‘락빗(LockBit)’은 피해 PC를 감염시키는 파일을 별도의 삭제나 이동시키는 행위는 보이지 않았으며, 감염 사실을 알리기 위한 ‘Restore-My-Files.txt’ 파일을 폴더마다 생성한다. 해당 랜섬노트는 “All your important files are encrypted!”라는 문구로 시작한다. 이후에는 해독기를 위한 비용 지불 방법, 공격자의 e-mail, 생성된 감염자의 ID 등의 내용이 담겨있다.

SCH사이버보안연구센터 신영재 연구생은 “이번에 분석된 락빗 랜섬웨어는 지금까지 국내에서 유포된 흔적은 확인되지 않았지만 타깃형 랜섬웨어의 특징을 가지고 있어 국내 기업 또는 기관의 주의가 필요한 것으로 판단된다”라며, “랜섬웨어에 대해 완벽한 예방이나 감염 이후 완벽한 복구 방법이 현실적으로 없으므로 사용자의 주의가 필요하며, 중요 파일들은 주기적 백업이 필요하다”라고 강조했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)