[[쉿!보안노트]<41>크립토락커 한국어판 국내 사이트에서 발견, 백업 등 사용자 주의 당부]
지난 20일 국내 한 유명 커뮤니티 웹사이트는 해커들의 놀이터가 돼버렸다. 3일 간이나 악성코드 유포지로 활용된 것. 웹사이트 방문자들에게 무작위로 뿌려진 악성코드는 '랜섬웨어'의 일종이었다.
랜섬웨어는 컴퓨터에 저장된 데이터를 사용자 몰래 암호화한 후 이를 복구해주는 조건으로 돈을 요구하는 신종 사이버 범죄다. 이번에 발견된 '크립토락커'는 랜섬웨어의 한 종류로, 심지어 한국어로 만들어져 국내 시장이 직접적인 공격 대상이 됐음을 보여줬다.
보안전문가들은 기존에 이메일을 통해 전파되던 형태와 달리 이번에 발견된 크립토락커는 드라이브 바이 다운로드(Drive-by Downloads) 방식으로 유포됐다는 점에 주목했다. 웹서버 취약점을 악용해 사용자가 웹사이트에 방문 만해도 감염시키기 때문에 확산 속도가 매우 빠르다.
이번에 발견된 크립토락커 분석 결과, 감염된 PC의 시스템 파일을 제외한 마이크로소프트(MS) 오피스 계열 및 한글 문서 파일, 압축 파일, 동영상‧사진 등을 무단으로 암호화했다. 이후 암호를 풀어주는 조건으로 96시간 내에 돈을 달라고 요구한다. 추적을 피하기 위해 비트코인으로 지불하도록 했다.
물론 범인에게 돈을 준다고 하더라도 암호화된 파일을 실제 복구해줄 지는 장담할 수 없다.
한국인터넷진흥원(KISA)이 국내외 백신사와 공조해 악성코드 샘플 공유 및 유포지, 경유지 차단 등 조치를 취했지만 추가 피해 우려는 남아 있다. 한국어판까지 준비하면서 국내를 공격으로 삼은 만큼 변종 랜섬웨어와 악성코드 유포지가 더 나올 수 있을 것으로 보안전문가들은 예상했다.
보안기업 하우리는 랜섬웨어 감염 예방 수칙으로 △취약성 공격 차단 프로그램 사용 △스팸 메일 첨부파일 실행 금지 △중요 문서 및 파일 백업 필수 △운영체제 및 각종 응용프로그램 보완 업데이트 진행 △백신 프로그램 최신 업데이트 유지 등을 제시했다.
KISA 관계자는 개인 사용자 뿐 아니라 웹사이트 관리자들도 웹서버 보안에 각별히 신경써야 한다고 당부했다.
진달래 기자 aza@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.