랜섬웨어, 당신의 공인인증서를 노린다

"암호화 과정 없이 탈취하고 금전 요구"

컴퓨팅입력 :2017/02/09 18:00

랜섬웨어 공격목표가 한국에서 널리 사용되는 공인인증서까지 확대된 것으로 나타났다.

하우리(대표 김희천)는 공인인증서를 암호화하는 게 아니라 PC에서 탈취하고 금전을 요구하는 랜섬웨어가 보안채팅 프로그램으로 위장해 유포됐다고 9일 밝혔다.

랜섬웨어가 위장한 보안채팅 프로그램은 실행되면서 PC 정보를 수집한다. 웹서핑 이력을 담은 브라우저 '히스토리'를 수집 대상에 포함한다.

랜섬웨어가 탈취해가는 공인인증서 파일 예시.

또 PC의 공인인증서를 비롯한 각종 인증서 파일을 수집해 압축하고, 이를 암호화해 깃허브 서버로 보낸다. 스스로를 시작프로그램에 등록해, PC를 재시작하더라도 계속 실행돼 정보를 가져간다.

랜섬웨어는 정보를 가져간 뒤 "우리는 당신의 컴퓨터에서 이미 정보를 가져갔다"며 "이를 멈추려면 비트코인을 지불하라"는 메시지를 남긴다. 특정 비트코인 지갑 주소를 제시하며 1비트코인(약 120만원)을 내라는 요구다.

사용자 공인인증서를 탈취하는 악성코드의 출현은 처음이 아니다. 하우리는 4년전 파밍사이트를 이용해 인터넷 뱅킹 정보를 탈취하는 악성코드가 유행하면서 공인인증서 탈취 악성코드 유포 사례도 나타났다고 지적했다.

[☞참조링크: 공인인증서 탈취, 악성코드 증가

해당 악성코드는 그럴싸한 공인인증서 암호입력창을 띄워, 실제 공인인증서 암호까지 빼돌리는 것으로 파악됐다. 인터넷뱅킹에 쓰이는 개인의 공인인증서, 비밀번호, 보안코드가 탈취되면 개인에게 재산 피해를 입힐 수 있는 상황이었다.

관련기사

당시 PC에 저장된 개인들의 공인인증서가 악성코드 동작으로 특정 서버에 수집된 것으로 파악됐다. 이번 랜섬웨어 공격자도 금품을 요구하는 동시에 개인들의 공인인증서를 수집해 다른 위협에 활용할 가능성을 무시할 수 없을 전망이다.

하우리 침해사고대응팀(CERT)실 측은 "백신 프로그램을 항상 최신 버전으로 유지해야 새로운 랜섬웨어 피해를 예방할 수 있다"며 백신 프로그램 사용을 권고했다.