이벤트 응모관련 웹사이트에서 한글버전 랜섬웨어 크립토락커 유포

[보안뉴스 김경애] 28일 국내 이벤트 응모관련 웹사이트를 통해 랜섬웨어인 한글버전 크립토락커가 유포되고 있는 정황이 또 다시 포착돼 이용자들의 각별한 주의가 요구된다.

이와 관련 하우리 최상명 CERT 실장은 한글로 된 크립토락커 랜섬웨어가 또 다시 발견됐다고 밝혔다.

또한, 28일 또 다른 변종 랜섬웨어가 메일을 통해 집중 유포되고 있는 것으로 알려졌다.

이에 앞서 랜섬웨어인 크립토락커 악성코드가 커뮤니티 웹사이트를 경유지로 악용해 유포돼 파장이 커진 바 있으며, 지난 22일 밤 11시경에도 한 커뮤니티 사이트를 통해 랜섬웨어 공격 정황이 포착됐다. 또한, 이메일 첨부파일을 통해서도 공격이 확산됐다.

게다가 해외의 경우 MS 보안을 사칭한 정황까지 포착되는 등 지능적인 모습을 갖추고 있어 랜섬웨어를 통한 보안위협이 갈수록 커지고 있다. 이처럼 공격자는 주로 커뮤니티 사이트의 광고 서버를 악용하거나 이메일 첨부파일을 통해 게속 전파되고 있는 상황이다.

특히, 이번에 유포된 랜섬웨어 악성코드는 드라이브-바이-다운로드 방식과 한글버전의 크립토락커가 결합한 한국 맞춤형 랜섬웨어라는 게 특징이다.

이미 여러 경유지의 도메인을 사용하고 있으며, 일각에서는 동일한 공격자가 여러 공격 루트를 이용했을 수 있다는 가능성도 제기된다. 또한, 네덜란드 IP인데 도메인은 다른 국가처럼 위장되어 있는 경우도 포착됐다.

이와 관련 한 보안전문가는 “해외 랜섬웨어 조직은 MS 보안 제품으로 위장해 유포된 이력도 있다”며 “한국 맞춤형 랜섬웨어의 경우 이미 여러 커뮤니티 사이트를 경유지로 악용하고 있으며, 도메인은 다형성이라 전체 주소를 차단하는 것은 효과를 보기 어렵다”고 밝혔다.

또한, 비트코인을 통한 결제가 계속 활성화된다면 공격범위는 더욱 확대될 수 있다며 보안전문가들은 랜섬웨어 공격의 확대 가능성을 우려했다.  

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>