본문으로 바로가기
57429074 0242020011157429074 08 0801001 6.0.22-RELEASE 24 이데일리 0 false true true false 1578699364000 1578699377000

[보안 따라잡기]②진화하는 랜섬웨어, 신종 소디노키비·넴티 기승

글자크기

소디노키비, 지난해 최다 유포…헌법재판소·공정위까지 사칭

넴티, 3분기 등장하자마자 급증…입사지원서 위장

이데일리

(자료=이스트시큐리티)


[이데일리 이후섭 기자] 지난해 신종 랜섬웨어 `소디노키비`와 `넴티`가 등장하면서 `갠드크랩`을 제치고 가장 많은 공격을 시도한 것으로 나타났다. 소디노키비는 헌법재판소 뿐만 아니라 공정거래위원회를 사칭해 여전히 기승을 부리고 있으며, 넴티도 기업 입사지원서 등으로 위장한 메일을 통해 유포되고 있다.

◇소디노키비, 지난해 최다 유포…헌법재판소·공정위까지 사칭

보안 전문업체 이스트시큐리티에 따르면 지난해 5월 `헌법 재판소 전화`, `헌법 재판소 청문 의제` 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포됐다. 해당 메일은 소디노키비를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인됐다.

소디노키비는 지난해 4월에 공개된 랜섬웨어로, 갠드크랩과 유사하게 이메일 첨부파일을 활용한 공격방식을 사용했다. 해킹 조직 리플라이 오퍼레이터 그룹은 `정리 해고 및 감면 목록`이라는 자극적인 제목과 더불어 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일을 마구 유포했다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체다. NH농협은행 보안팀에서 보낸 메일이라고 사칭하기도 했다.

지난해 7월에는 공정거래위원회를 사칭한 악성 메일로 소디노키비가 유포됐다. 공정위를 사칭한 악성메일 공격은 최근까지도 이어지고 있다. `전자상거래 위반행위 조사통지서`라는 제목을 달고 특정 사무관의 이름으로 이메일이 발신돼 사용자를 현혹시킨다. 전자상거래 위반조사시 준수할 사항이라고 안내한 붙임 파일을 실행하면 소디노키비 랜섬웨어에 감염돼, 사용자 PC의 바탕화면을 파란색 화면으로 바꾸고 파일을 암호화한다.

소디노키비는 부동산 관련 메일, 글로벌 물류회사까지 사칭하며 지난해 하반기 가장 많이 유포된 랜섬웨어로 조사됐다. 이스트시큐리티 시큐리티대응센터(ESRC)의 모니터링 분석 결과에 따르면 지난해 하반기 알약을 통해 차단된 랜섬웨어 공격은 총 43만6612건으로 집계됐다. 소디노키비는 지난해 3분기에 이어 4분기에도 가장 많이 유포된 랜섬웨어로 확인됐다. 특히 ESRC는 소디노키비 등의 악성메일 유포 방식 등을 분석한 결과 한국에 집중 유포되는 랜섬웨어의 배후에는 비너스락커(VenusLocker) 조직이 있는 것으로 확신했다. 해당 조직은 서비스형 랜섬웨어(RaaS)를 활용해 추적을 회피하고 있다.

이데일리

지난 4월 등장한 신종 랜섬웨어 소디노키비가 공정거래위원회를 사칭한 악성메일을 통해 12월에도 유포되고 있다.(이메일 회면 캡처)


◇넴티, 3분기 등장하자마자 급증…입사지원서 위장

지난해 8월말 발견된 넴티는 파일 암호화시 `nemty` 문자열이 포함된 확장자로 변경하는 랜섬웨어다. 감염된 PC의 IP, 국가정보, PC명, 사용자명, OS정보, PC ID정보를 수집해 공격자에게 전송하며 데이터 복구를 위한 쉐도우 복사본을 삭제한다.

넴티는 기업의 공개된 그룹 메일 주소에 입사지원서, 공문 등으로 위장해 네이버·한메일 등 사용자들에게 친숙한 도메인의 피싱 메일을 통해 유포됐다. 지난해 8월 말부터 새롭게 등장해 9월부터 급증했으며, 4분기에도 소디노키비와 함께 알야을 통해 많이 차단된 랜섬웨어 중 하나로 꼽혔다.

지난해 10월 넴티에 감염된 PC를 무료로 파일을 복호화할 수 있는 툴이 공개되자, 같은 달 비너스락커 조직이 경력직 입사지원서로 위장한 2.0 버전의 넴티를 대량 유포한 정황이 확인됐다. 유포된 메일은 대부분 지원자 이름을 메일 제목으로 위장했으며, 해당 메일을 받은 채용담당자나 관련자가 메일을 열어 첨부파일을 실행하면 바탕화면에는 넴티 2.0 버전에 감염됐음을 알리는 랜섬노트가 뜨게 된다.

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.