랜섬웨어, 다이어, 매크로 악성코드 등 사용자 금융정보 노려

메일 확인시 확장자 확인, 백신과 SW 최신버전으로 업데이트 필수 

[보안뉴스 김경애] 대부분의 악성코드는 개인정보나 금융정보 탈취용으로 돈을 가로채기 위함이다. 공격자는 사람들이 많이 이용하는 사이트에 악성코드를 심어 사용자 모르게 악성코드에 감염시키거나 금융기관을 사칭해 금융정보나 개인정보를 탈취한다.

그 중에서도 악명 높기로 소문난 악성코드가 있다. 이로 인해 금융기관 역시 해당 악성코드에 유의할 필요가 있으며, 이용자들도 인터넷뱅킹이나 인터넷 이용시 각별한 경각심을 가져야 한다.

이에 본지는 올해 상반기를 강타한 악성코드 3인방은 무엇이며, 이용자가 유의해야 할 점이 무엇인지 소개하고자 한다.

1. 날로 확장하며 국내 상반기 휩쓴 랜섬웨어

올해 상반기 국내에 존재감을 제대로 알린 최대의 악성코드는 바로 랜섬웨어류다. 랜섬웨어는 PC에 저장된 중요파일이나 데이터가 암호화한 뒤 돈을 주면 암호를 풀어주겠다고 협박하는 수법이다. 주로 많은 사람들이 접속하는 사이트에 공격자가 랜섬웨어 악성코드를 유포하는데, 최신 버전의 백신 업데이트가 안 된 사용자가 이를 모르고 웹사이트에 접속할 경우 랜섬웨어에 감염된다.

2013년까지 해외에서 주로 발생했던 랜섬웨어의 경우 이미 그 파급력과 악명은 타의 추종을 불허할 만큼 정평이 나 있다.

본지 국제팀에 따르면 지난 2월, 진화된 랜섬웨어인 ‘테슬라크립트(TeslaCrypt)’라 등장한데 이어 한층 업그레이드된 테슬라크립트 2.0 버전이 발견되는 등 갈수록 지능적으로 변모하고 있다.

이와 관련 카스퍼스키 랩(Kaspersky Lab)은 해당 랜섬웨어에 대해 “비디오 게임 파일 등의 암호화와 크립토월(CryptoWall)로 위장이 가능하다”며 “자체적으로 랜섬 스크린을 디자인하는 등 크립토락커(CryptoLocker)와 크립토월(CryptoWall) 3.0 버전의 종합판”이라며 그 위협성을 설명했다.

국내 역시 랜섬웨어 피해의 직격탄을 맞았다. 지난 4월 국내에 한글판 랜섬웨어가 처음 등장한 이후, 지난 5월 1일 크립토락커(Crypto Locker) 변종으로 디도스(DDoS: Distributed Denial of Service, 분산서비스거부) 공격 기능까지 추가됐다.

이후 5월 6일에는 연휴 동안 국내에 앵글러 EK(Angler Exploit Kit) 형태로 유포된 ‘Threat Finder’ 랜섬웨어도 발견됐으며, 5월 12일에는 워드프레스 취약점을 이용해 유포되는 랜섬웨어까지 등장했다.

최근에는 랜섬웨어 위협이 모바일 기반 안드로이드(Android) 운영체제로까지 확대되고 있다. 지난 6월에는 안드로이드 스마트폰 사용자가 해외 성인 동영상을 보기 위해 ‘pornvideo.apk’ 파일을 다운로드받아 실행하면 ‘PornPro(Porn Droid)’라는 애플리케이션이 사용자의 스마트폰에 설치되면서 ‘모바일 랜섬웨어 앱’에 감염되는 사례가 발견된 바 있다. 이후 지난 14일에는 어도비 플래시 플레이어를 위장한 ‘스마트폰 랜섬웨어’ 사례가 발견되기도 했다.

보안전문 파워블로거 울지않는 벌새는 “일부 보안업체에서 랜섬웨어에 대해 무료로 복호화하는 프로그램을 공개하고 있지만, 랜섬웨어 제작자는 암호화 알고리즘을 수정해 돈을 지불하지 않고는 복호화 할 수 없도록 변경하는 사례가 최근에 있었다”며 “랜섬웨어의 경우에는 사전 차단 및 감염을 대비한 백업이 가장 중요하다고 볼 수 있다”고 말했다.

2. 스팸 공격으로 금융보안 위협하는 다이어(Dyre)

이어 두 번째 악성코드는 바로 다이어다. 지난해 등장한 ‘다이어’는 윈도우 컴퓨터를 표적으로 3대 웹 브라우저인 인터넷 익스플로러(Internet Explorer), 크롬(Chrome), 파이어폭스(Firefox)를 공격해 금융 및 기타 개인정보를 탈취한다. 이는 사용자가 3가지 웹 브라우저를 통해 은행 웹사이트에 접속하면 뱅킹 악성코드가 동작해 사용자 정보 및 뱅킹 정보를 탈취하고 키로깅 등의 악성행위를 수행하는 것이다.

지난 4월 전세계 500여 개의 은행이 타킷이었으나 6월 말 1,000여개의 은행과 기업으로 확대되는 등 금융보안 위협으로 급부상했다. 특히 미국, 영국 등 영어권 국가를 타깃으로 했으나 지난 봄부터는 국내 은행 역시 포함된 것으로 알려졌다.

시만텍에 따르면 다이어는 로그인 정보 수집뿐만 아니라 추가적인 악성코드로 피해자를 감염시키고, 피해자의 컴퓨터를 봇넷에 추가시켜 스팸 캠페인을 실행하는 등 이중 공격을 통해 피해를 더욱 확산시키는 것으로 알려졌다.

다이어와 관련해 현재까지 7가지의 추가 악성코드 군(Trojan.Spadyra, Trojan.Spadoluk, Trojan.Pandex.B, Infostealer.Kegotip, Trojan.Fareit, Trojan.Doscor, Trojan.Fitobrute)이 탐지됐으며, 대부분의 경우 사용자 컴퓨터가 봇넷에 추가된 후 또 다른 스팸 공격을 감행해 더 많은 피해자를 감염시키는데 이용됐다.

3. 20년 경력 노련한 매크로 악성코드의 ‘부활’

상반기를 강타한 3인방중 마지막 악성코드는 지난 1995년 등장해 오피스 사용자들을 대상으로 널리 퍼졌다가 2000년 초 자취를 감췄던 매크로의 부활이다.

안랩에 따르면 탄생한지 20년이 된 2014년부터 조금씩 모습을 드러내더니 올해에는 매일 1~2개의 신종 매크로 악성코드가 발견되고 있는 상황이라고 밝혔다.

일반적으로는 오피스에서 매크로 기능은 ‘사용하지 않음’으로 설정돼 있다. 그러나 요즘 등장한 매크로 악성코드는 사용자가 매크로 기능을 활성화하도록 유도한다. 가장 많이 사용히는 방법은 문서 내용을 알아보지 못하게 하고 매크로를 사용하면 내용을 볼 수 있다고 유도하는 식으로, 주로 엑셀 파일에서 볼 수 있다는 게 특징이다.

공격자는 매크로 악성코드를 이용해 다른 악성코드를 다운로드하거나 생성할 수 있다. 공격자의 최종 목표는 사용자 컴퓨터에 악성코드를 설치해 사용자의 정보를 유출하거나 금융정보를 탈취하는 것이다.

이와 관련 한 보안전문가는 “과거 잠깐 유행했던 매크로 악성코드가 최근 다시 부활해 금융정보를 노리고 있다”며 “사용자가 스팸메일에 포함된 어파트레(Upatre) 악성코드를 실행하면 다이어가 감염되는데, 매크로 악성코드가 떨어뜨리는 금융정보 탈취용 드라이덱스(Dridex) 감염에도 주의해야 한다”고 당부했다.

이 때문에 메일 수신 시 실행파일이나 확장자가 scr이지 확인하고, 파일을 클릭하지 않도록 주의해야 한다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>