[보안뉴스 문가용] 초기의 안드로이드용 랜섬웨어가 하는 짓이라고는 고작해야 화면을 잠가 버리는 것이 다였다. 그러나 안드로이드가 진화하듯이 이러한 멀웨어도 진화하고 있다. 최근 보안전문업체 ESET이 파일 하나를 암호화시킨 후에 사용자에게 돈을 요구하는 랜섬웨어의 일부를 발견한 것이다.

이 랜섬웨어의 이름은 심플락커(SimpLocker)이며, 아직은 미완성 상태로 추정하고 있다. 공격방법들이 특정 부분에서는 굉장히 섬세하고 고차원적이지만 정작 암호화 기술은 아직 유치한 수준이었기 때문이다.

“암호화 기술 등 주무기가 허술하니 우습기도 한 현상입니다.” ESET의 보안분석 팀장인 로버트 리포프스키(Robert Lipovsky)의 말이다. 심플락커는 기기에 침투한 뒤 SD카드에 들어있는 각종 문서 파일, 이미지 파일, PDF 파일, 워드 파일을 스캔한다. 그리고 그 파일들을 암호화한 후 다음과 같은 경고 메시지를 노출시킨다(경고문 원문은 러시아어).

MoneXy를 통해 돈을 지불하라는 메시지가 바로 이런 보호장치의 예다. MoneXy는 신용 카드보다 추적이 훨씬 어려운 방법이기 때문이다. 게다가 C&C(Command&Control) 서버는 토르(TOR)라는 익명 네트워크에 호스팅되어 있다.

또한 심플락커는 모델명, 운영 시스템, 제조사 등 기기 식별 정보를 C&C 서버로 전송한다. 하지만 사용자 자신의 개인식별 정보까지도 전송한다는 흔적이나 정황은 아직 찾을 수 없었다고 리포프스키 팀장은 말했다.

경고 메시지의 원문이 러시아어로 작성되어 있다는 점과 우크라이나 화폐를 요구한 것으로 보아 심플락커는 우크라이나 지역을 노리고 만든 것이라고 추측할 수 있다. 우크라이나와 러시아 간의 긴장이 점점 고도되고 있는 가운데 멀웨어 활동이 기승을 부리고 있다는 조사 결과가 나와 있긴 하지만 리포프스키 팀장은 심플락커에는 정치적 목적이 전혀 없을 것이라고 확신했다.

또한 경고 메시지에는 아동 포르노그래피나 수간 등 변태 성행위의 열람과 배포를 잠금처리의 이유로 대고 있지만 경찰에서 배포한 랜섬웨어는 절대 아닐 것이라고 설명했다. 그런 사실이나 법적 근거를 정확하게 명시하고 있지 않으며 어떠한 경찰관련 로고가 표기되지 않았기 때문이다.

심플락커가 요구하는 260그리브나는 대략 21달러에 해당하며 아직까지 정확한 피해자의 수나 피해액이 집계된 적은 없다. 리포프스키 팀장은 “이제 막 배포된 멀웨어이기 때문에 피해자가 그리 많지는 않을 것”이라고 예상했다.

랜섬웨어는 최근 들어 부상하고 있는 이슈다. 불과 2주 전에 블랙쉐이즈(Blackshades)라는 원격접속 랜섬웨어에 연루된 사람이 90명 넘게 체포된 바 있으며 지난 5월말에는 미국 사법부가 고제우스(GOZeuS)라는 악명 높은 봇넷과 크립토락커를 타파하기 위한 국제적인 노력을 선언하기도 했던 것이다. 크립토락커는 고제우스와의 연계성과 두 가지 알고리즘을 활용한 다중암호화로 유명해진 멀웨어다.

“크립토락커는 꽤나 수준 높은 멀웨어입니다. 하지만 그렇다고 해도 과대평가 된 면이 없지 않습니다.” 리포프스키 팀장의 평이다. 이어 그는 “자료 백업만 잘 해두어도 랜섬웨어는 아무런 문제가 되지 않을 것”이라고 예방책을 일러주기도 했다. 
ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>