비너스락커 랜섬웨어는 국내에서 널리 사용되는 압축 프로그램과 한글로 된 정교한 파일명을 사용하는 등 유포자가 한국의 언어와 문화를 잘 이해하는 것으로 보이는 정황이 다수 포착돼 본격적인 한국형 랜섬웨어가 나타나는 것이 아니냐는 우려가 제기되고 있다.
 |
23일 보안 업계에 따르면, 최근 한국 사용자를 집중적으로 노리는 비너스락커 변종 랜섬웨어가 이메일을 통해 지속적으로 유포되고 있다. 최근 발견되는 랜섬웨어 중 열에 다섯은 비너스락커 변종일 정도로 빠르게 확산되는 추세다.
비너스락커 랜섬웨어는 지난해 말부터 사내 내부지침 공지, 설문지, 예약 문의 등 특정 타깃을 대상으로 정교한 한국어 메일로 유포되기 시작했다. 기존에도 감염된 컴퓨터의 지역이나 운영체제(OS)의 언어 설정에 따라 한글로 감염 사실을 알리고 비트코인 입금 방법을 안내하는 랜섬웨어는 있었지만, 비너스락커 랜섬웨어는 감염을 유도하는 수법이 더 교묘하다.
록키나 케르베르 랜섬웨어의 경우 불특정 다수가 관심을 가질 만한 제목으로 무차별 유포되는 사례가 많았지만, 비너스락커는 더 정교한 사회공학적 기법을 활용한다. 법무법인에는 법률 상담을 문의하거나 기관에는 교육 일정표를 공유한다는 내용으로 공격 대상이 의심없이 첨부파일을 열어보도록 유도하는 식이다. 비너스락커 랜섬웨어 유포자가 한국인이거나 한국어에 능통한 사람을 끌어들였다는 추측이 가능한 대목이다.
또 최근 발견된 비너스락커 변종 랜섬웨어는 국내에서 주로 사용하는 한글 문서(hwp) 파일도 암호화해 인질로 삼는다는 점에서 한국을 정면 타깃으로 삼았다는 판단에 힘을 실어준다.
 |
 |
랜섬웨어 자체의 동작 방식은 비너스락커도 기존 록키나 케르베르와 크게 다르지 않다. 공격자는 자신의 신분을 숨기고, 수사기관의 추적을 회피하기 위해 다양한 국가에 위치한 명령제어(C&C) 서버를 이용한다. 보안 업계에 따르면, 비너스락커 랜섬웨어는 초기 러시아 소재의 서버를 주로 사용했으나, 최근에는 네덜란드, 루마니아 등 서버의 소재지를 변경하는 것으로 나타났다.
이스트시큐리티 관계자는"비너스락커 공격자는 자신의 이메일로 랜섬웨어 피해자에게 한국어로 복구 절차, 비트코인 구매 방법 등을 친절히 설명해주는 등 매우 적극적인 모습을 보여주고 있다"며 "비너스락커 랜섬웨어가 한국 맞춤형으로 진화하면서 올해 상반기 국내에서 보고되는 가장 큰 보안 위협이 될 것으로 보인다" 말했다.
IT조선 노동균 기자 saferoh@chosunbiz.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
