"한국어 상담까지 해주는 '친절한 랜섬웨어' 확산"

이스트시큐리티 "비너스로커 변종, 국내 지속 유포"

컴퓨팅입력 :2017/02/23 17:00    수정: 2017/02/23 18:01

감염자에게 한국어로 상담까지 해 줄 만큼 친절한 '한국 맞춤형' 랜섬웨어가 지속 확산되고 있다는 경고가 나왔다.

이스트시큐리티(대표 정상원) 시큐리티대응센터는 23일 "최근 몇달간 국내 기관, 기업을 집중 겨냥한 비너스로커(VenusLocker) 변종 랜섬웨어 공격이 꾸준히 지속돼 관련 피해 보고가 잇따르는 상황"이라며 "올상반기 국내서 실존하는 최대 보안위협이 될 것"이라고 전망했다.

랜섬웨어 공격자가 피해자에게 설명하는 이메일 화면 중 일부 [자료=이스트시큐리티]

회사측에 따르면 비너스로커 변종 랜섬웨어는 한국어 이메일을 통해 국내에 지속 유포되고 있다. 특정 연구소나 주요 기관 종사자를 대상으로 연말정산 안내, 내부 지침 사항 공지 형식을 취하고, 법무법인에는 법률 상담 문의 메일을 보내는 등 맞춤형 공격이 벌어지고 있다.

랜섬웨어 공격자는 감염된 피해자에게 한국어로 복구절차, 비트코인 구매방법을 일일이 상담, 설명해 줄만큼 친절하고 적극적인 것으로 평가됐다. 악성파일을 메일 첨부시 국내에서 널리 쓰이는 압축 프로그램, 한글파일명을 쓰는 등 한국 문화, 언어를 잘 아는 듯한 정황이 포착됐다.

특정 단체에서 공식 발송한 것으로 사칭한 비너스로커 유포 이메일 [자료=이스트시큐리티]

피해자에게 복구 관련 한국어 안내를 하는 설명문구 자체는 한영번역기를 활용한 듯 어눌해 보이지만, 이는 한국 정황에 밝다는 자신의 특성을 숨기려고 위장한 수법으로 보인다고 이스트시큐리티 측은 진단했다.

공격자는 여러 나라에 명령제어서버를 두고 이용 중인 걸로 파악됐다. 초기 러시아소재 서버를 쓰다가 최근 네덜란드, 루마니아 등으로 소재지를 바꾸고 있다. 이는 신분을 숨기고 수사기관 추적을 피할 목적이라고 이스트시큐리티 측은 설명했다.

관련기사

김준섭 이스트시큐리티 부사장은 "며칠 간격으로 꾸준히 제작, 유포되고 있는 비너스로커 랜섬웨어는 실제 감염 피해 사례가 다수 보고되고 있기 때문에, 국내 기업과 기관 종사자는 이메일에 첨부된 파일을 실행하기 전 다시 한번 확인하는 주의를 기울여야 한다"고 말했다.

이스트시큐리티 알약은 최근 공격에 동원된 랜섬웨어 악성코드를 ‘Trojan.Ransom.VenusLocker’ 등으로 탐지, 치료하고 있다.