이스트시큐리티(대표 정상원)는 한국인 개발자가 제작한 것으로 추정되는 '직소(JigSaw)' 랜섬웨어 변종을 발견했다고 19일 밝혔다.
안내문에 따르면 직소 랜섬웨어는 감염 컴퓨터 파일을 암호화한 뒤 일정 시간이 지날 때마다 그 일부 파일을 삭제한다. 파일 삭제 동작을 중단하려면 사용자가 비트코인을 지불해야 한다. 전 세계적으로 잘 알려진 공포 영화 ‘쏘우(Saw)’에 등장했던 광대 마스크 ‘빌리 더 퍼펫’ 이미지를 보여주며 공포감을 조성하는 게 특징이다. 파일 삭제 주기가 돌아올 때마다 요구 액수가 늘어난다. 72시간 뒤엔 모든 파일이 삭제된다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 "광대 마스크 이미지 노출을 제외한 대부분의 특성이 기존 직소 랜섬웨어와 흡사"하다고 지적했다. 이에 감염되면 영화 쏘우의 범인이 TV를 통해 문장을 보여주며 인질을 협박했던 장면처럼 PC 화면에 창을 띄우고 한국어 안내문을 한 줄씩 보여주며 암호 해제(복호화)를 위해 비트코인 결제를 하도록 협박한다.
ESRC는 "사용된 한글 안내문이 감탄사, 이모티콘을 적절히 사용하는 등 원어민 수준에 가까운 완벽한 구어체로 작성되어 있고, 소스코드 분석 결과 주석, 폴더 경로 등에서 다량의 한글이 발견된 정황을 통해 한국인 개발자가 직접 개발에 참여한 것으로 추정하고 있다"고 밝혔다. 하지만 "분석시점엔 실제로 파일 암호화가 진행되지 않았고 각종 버그도 발견되는 등 테스트용으로 제작한 샘플일 가능성이 있다"고 덧붙였다.
관련기사
- "지난해 국내 출몰했던 랜섬웨어, 해외서 또 유포"2017.07.19
- 이스트시큐리티-필라웨어, 보안사업 맞손2017.07.19
- "중국서 안드로이드판 워너크라이 출현"2017.07.19
- 페덱스 사칭 랜섬웨어 국내 유포2017.07.19
이스트시큐리티 김준섭 부사장은 "랜섬웨어가 사이버 공격자들의 새로운 수익원으로 자리 잡으며, 인터넷 보급률 세계 최상위권인 한국을 대상으로 하는 랜섬웨어 공격이 날로 증가하고 있다"며 "국내 사정에 정통한 한국인 개발자까지 랜섬웨어 공격에 뛰어든 것으로 추정되기 때문에, 앞으로 국내 사용자의 심리와 특성을 정교히 활용한 더욱 진화된 공격이 나타날 수 있다"고 말했다.
한국인터넷진흥원(KISA) 측은 "랜섬웨어 정보수집 허브운영 협력 채널을 통해 이스트시큐리티 등 민간 보안 기업과 최신 랜섬웨어 공격에 대한 정보를 실시간 공유하며 랜섬웨어 피해 확산 방지에 총력을 다하고 있다"면서 "랜섬웨어는 국가적인 차원에서 심각한 사이버 범죄로 주목하고 있기 때문에, 개인이 호기심으로 테스트용 랜섬웨어를 제작하는 것만으로도 처벌을 받을 수 있으니 주의해야 한다"고 말했다.