국내서 200만여명 규모 사용자들을 확보하고 있는 인기 온라인 커뮤니티 뽐뿌와 함께 주요 언론사 웹사이트의 배너광고를 악용한 랜섬웨어 유포가 위험수위에 도달했다.
하우리 CERT실 최상명 실장은 "지난 3일부터 시작된 연휴에 이어 7일까지 평소보다 4배 이상 많은 랜섬웨어 감영자들이 발생했다"며 "배너광고를 통해 앵글러 익스플로잇 킷으로 플래시 취약점 등을 악용해 '크립트XXX' 한글버전이 유포됐었다"고 밝혔다. 이에 따라 뽐뿌는 지난해 4월 클리앙을 통한 랜섬웨어 유포에 이어 단일 웹사이트 기준으로 가장 많은 랜섬웨어 유포 경유지라는 오명을 안게 됐다. 같은 기간 주요 언론사 웹사이트들도 유사한 공격 수법에 노출돼 있었던 것으로 확인됐다.
배너광고를 통한 랜섬웨어 유포는 해당 웹사이트에 방문하는 것만으로도 감염되는 탓에 방문자들이 많은 사이트일수록 심각한 피해를 유발할 수 있다.
최근 확인된 뽐뿌의 경우 사이트 자체의 문제라기보다는 배너광고에 대한 보안성을 제대로 관리하지 못한 광고서버 관리자의 책임이 큰 것으로 판단된다. 뽐뿌가 사이트에 배너광고를 붙이게 되면 이 광고를 내보내는 업체는 뽐뿌와는 별개로 운영되기 때문이다. 실제로 뽐뿌에서 문제가 됐던 배너광고는 다른 언론사에서도 활용하고 있었던 것으로 나타났다.
최 실장에 따르면 문제가 된 것은 '오픈X(OpenX)'라고 불리는 오픈소스 기반 광고플랫폼이다. 뽐뿌와 같은 사이트들은 구글 광고 플랫폼을 통해 배너광고를 게재한다. 그러나 구글이 직접 관리한다기 보다는 하청을 주는 방식으로 광고서버에 대한 관리가 이뤄진다. 이 과정에서 공격자들이 보안에 취약한 오픈X 플랫폼을 악용해 크립트XXX 한글버전을 유포해 온 것이다.
최 실장은 "현재 크립트XXX 한글버전에 감염되면 돈을 지불하지 않는 이상 암호화된 파일들을 복호화시킬 방법이 없다"고 설명했다.
관련기사
- 랜섬웨어 전성시대...피싱메일 93% 차지2016.06.07
- 한국어 랜섬웨어 또 등장...벌써 세번째2016.06.07
- 한글판 랜섬웨어, 또 다시 유포 급증2016.06.07
- 한국형 랜섬웨어 대응책 A to Z2016.06.07
뽐뿌 건에서는 인터넷익스플로러(IE), 어도비 플래시 등에 대해 최신 보안패치를 적용하지 않았던 PC, 노트북들이 공격대상이 됐던 것으로 분석됐다. 이 과정에서 앵글러 익스플로잇 킷(취약점 공격툴)이 악용됐다.
해당 랜섬웨어로 인해 피해를 입은 파일들을 복구하기가 사실상 불가능하기 때문에 사전에 윈도는 물론, IE, 크롬, 플래시 등에 대한 최신 보안패치를 적용하는 것과 함께 중요 파일들에 대해서는 반드시 백업을 해놓고, 하우리나 다른 보안회사들이 제공하는 백신 혹은 랜섬웨어 예방툴을 설치해야만 한다. 하우리의 경우 자사 보안솔루션인 APT실드를 통해 최근 뽐뿌 등에서 발견된 랜섬웨어 감염시도 350여건을 막아냈다고 최 실장은 밝혔다.