"박리다매식 한국 맞춤형 랜섬웨어 유포"

이스트시큐리티, 암호화 랜섬웨어 '오토디크립트(AutoDecrypt)' 확산 경고

컴퓨팅입력 :2017/05/10 11:14

비너스로커(VenusLocker)에 이어 또다른 한국 맞춤형 랜섬웨어 '오토디크립트(AutoDecrypt)'가 등장했다. 피해자에게 자료를 되찾게 해주는 대가로 요구하는 금액 수준이 기존 10분의 1 수준인 0.1비트코인(약 18만원)이다.

이스트시큐리티는 지난 8일 오토디크립트 확산을 경고하며 이 악성코드 제작자가 다른 랜섬웨어 공격자보다 비교적 낮은 복호화 비용을 요구하고 있는데 이는 높은 수익을 창출하기 위해 일종의 '박리다매'형 수법을 쓰는 것이라고 평했다.

도안 파일로 위장된 압축 파일과 바로가기

오토디크립트는 유창한 한국어를 구사하는 메일 내용으로 사용자의 관심을 끌어 시스템을 감염시킨 뒤, 중요한 자료를 암호화하고 복구 방법 역시 상세하게 한국어로 설명하는 특징을 보인다. 여타 랜섬웨어와 달리 한국에 유포하기 위해 맞춤형으로 만들어졌다는 얘기다.

오토디크립트는 특정 이미지 도안 파일로 위장, 국내 이용자 다수에 전달하는 형태로 유포됐다. 설문조사를 위해 첨부된 비공개 도안 4개를 확인하라는 설명을 담았다. 첨부 자료는 정상 이미지 파일(jpg)을 위장한 바로가기(lnk)다.

수신자가 이를 실행하면 위장된 랜섬웨어 파일이 자동 실행되고 PC에 저장된 한글 문서(.hwp)와 MS오피스 등 중요 자료가 암호화된다. 암호화가 끝나면 한국어 복구안내 설명, 영문 음성합성(TTS) 메시지 등으로 랜섬웨어 감염 사실을 알려 주고 복호화를 원하면 비트코인 결제를 하라고 요구한다. 1비트코인을 요구하는 여타 랜섬웨어와 달리 오토디크립트는 0.1비트코인을 요구한다.

오토디크립트 랜섬웨어 감염 시 보여지는 안내문

그간 한국 맞춤형 랜섬웨어의 대명사는 비너스로커였다. 오토디크립트는 비너스로커를 계승하는 성격을 보인다. 오토디크립트를 분석한 이스트시큐리티 시큐리티대응센터 설명에 따르면 악성메일 유포 형태가 유사하고, 공격에 사용된 바로가기 파일의 코드도 일치했다. 정황상 기존 비너스로커 공격자가 랜섬웨어 개발 비용, 시간을 절약하고 유포자 추적을 어렵게 하려고 오토디크립트를 동원한 걸로 판단된다.

시큐리티대응센터 측은 "공격자는 추적을 피하기 위해, 일반적인 검색 엔진으로 찾을 수 없어 범죄에 흔히 활용되는 딥웹의 한 종류인 다크웹(DarkWeb) 주소를 통해 복호화 키 구매 사이트로 접속을 유도한다"며 "공격자는 토르 웹 브라우저를 사용해야 하는 다크웹 주소를 안내하고, (복호화 키) 구매 페이지에 접속할 때마다 비트코인 지갑 주소를 변경하는 등 치밀한 수법을 사용하고 있다"고 지적했다.

시큐리티대응센터에 따르면 오토디크립트는 서비스형랜섬웨어(RaaS)로 만들어졌다. RaaS는 랜섬웨어 제작 대행 서비스다. 악성프로그램 개발을 할 수 없는 범죄자가 손쉽게 변종을 제작해 유포할 수 있게 해주는 사업형 사이버범죄다.

관련기사

김준섭 이스트시큐리티 부사장은 "유창한 한국어를 사용하는 등 국내 사정을 잘 파악하고 있는 특정 공격자가, 국내 이슈나 사용자 심리를 활용한 국지적 공격을 펼치고 있다"며 "갈수록 지능적으로 발전하고 있는 랜섬웨어 공격을 대비하기 위해서는 메일 첨부 파일 실행에 각별한 주의를 기울이고, 백신 프로그램을 통해 주기적인 검사를 하는 습관을 가져야 한다"고 말했다.

이스트시큐리티 측은 자사 백신 알약이 ‘Trojan.Ransom.AutoDecrypt’라는 탐지명으로 오토디크립트 랜섬웨어를 진단하며, 행위기반 차단 방식으로 변종 랜섬웨어에도 대응할 수 있다고 설명했다.