국제 배송 서비스 사칭한 랜섬웨어 유포 "첨부파일 열지마세요"

페덱스 사칭한 배송안내 이메일 보내
0.1 비트코인 요구…랜섬노트에 한국어도 등장

[아시아경제 한진주 기자] 국제 배송 서비스를 사칭한 랜섬웨어 변종이 국내에 유포되고 있다. 배송장이나 영수증 이미지 파일로 위장된 첨부파일을 열 경우 즉시 감염되므로 주의해야 한다.

26일 통합 보안 기업 이스트시큐리티는 서비스형 랜섬웨어의 일종인 '오토크립터(AutoCryptor)' 변종이 페덱스를 사칭한 이메일로 통해 국내에 다량 유포되고 있다고 밝혔다.

오토크립터 랜섬웨어는 이달 초 일반적인 랜섬웨어 공격자들이 요구한 10% 수준(0.1 비트코인)을 요구하면서 국내에 최초로 확산됐다. 정부기관, 민간기업, 일반 커뮤니티 블로거들까지 폭넓은 대상을 공격하고 있다.

공격자들은 글로벌 특송 업체인 페덱스(FedEx)의 배송 안내로 위장한 이메일을 보내고 있다. 'leemoonjung1211@gmail.com' 계정으로 페덱스 지원 팀(FedEx Support Team)을 사칭해서 이메일을 발송하고 있다. 일부 고객들의 피해사례가 접수되고 있어 각별한 주의가 필요하다.

해당 이메일 본문에는 '고객님의 물품을 부득이하게 전달해드릴 수 없으니, 첨부된 영수증과 배송장을 출력하여 가까운 FedEx 사무실에 방문하여 물품을 전달받으라'는 배송 안내가 적혀 있다. 수신자들이 첨부파일을 실행하도록 유도한다. 압축 파일 내부에는 '배송장.jpg', '영수증.jpg'등 이미지 파일로 위장된 바로가기(*.lnk) 파일과 '페덱스지점안내.doc' 문서 파일로 위장된 랜섬웨어 기능의 실행 파일(.exe)이 포함되어 있다.

수신자가 이미지(.jpg) 파일로 위장된 바로가기 파일을 실행할 경우, 바로가기 내부 명령어에 의해 '페덱스지점안내.doc' 파일이 자동으로 실행되고 즉시 랜섬웨어에 감염된다. 암호화가 완료되면 바탕화면 등에 'THIS_YOU_MUST_READ.txt' 이름의 랜섬노트 파일이 생성되고, 암호 해독(복호화)을 위해 0.1 비트코인을 요구하는 한국어 안내를 보여준다.

이스트시큐리티 시큐리티대응센터(ESRC)는 "이번에 발견된 오토크립터 랜섬웨어 역시 정교하게 작성된 한글 이메일을 활용하는 등 작년 말부터 꾸준히 이어진 비너스락커(VenusLocker) 랜섬웨어의 공격 방식과 상당 부분 일치한다"며 "일부 코드의 경우 100% 동일하게 제작돼 비너스락커 공격자가 다양한 랜섬웨어 변종을 제작해 유포하고 있는 것으로 판단된다"고 말했다.

이번 랜섬웨어는 수사기관의 추적을 피하기 위해 토르(Tor) 웹 브라우저로만 접속 가능한 다크 웹(Dark Web) 주소를 사용했다. 랜섬노트 내용에 '술 한잔 마시는 금액으로 당신의 중요한 파일들을 복구하세요'라는 유창한 한국어 표현이 사용된 문구가 포함돼 있다.

김준섭 이스트시큐리티 부사장은 "사회적 이슈나 사용자 심리를 활용한 오토크립터 랜섬웨어가 지속적으로 유포되고 있다"며 "갈수록 지능적으로 발전하고 있는 랜섬웨어 공격을 대비하기 위해서 이메일 첨부 파일 실행에 각별한 주의를 기울이고, 백신 프로그램을 통해 주기적인 검사를 하는 습관을 가져야 한다"고 당부했다.

한진주 기자 truepearl@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>