웹서버 인질 삼아 비트코인 요구하는 랜섬웨어 발견

네이버·다음·페북 계정 탈취 위한 피싱 기승

[보안뉴스 김경애] 윈도우10에 이어 웹서버를 인질로 삼은 랜섬웨어까지 등장해 랜섬웨어도 갈수록 진화하는 양상이다. 또한, 네이버와 다음, 페이스북 등의 계정탈취를 노리는 피싱사이트도 발견되고 있으며, 해킹팀(Hacking Team)에서 유출됐던 취약점을 활용하기 위한 공격자들의 움직임도 활발해 이용자들의 주의가 요구된다.

마이크로소프트가 지난 29일 전 세계 190개국에서 윈도우10을 공식 출시하고 무료 업그레이드 서비스를 제공한지 3일 만에 ‘윈도우10’으로 위장한 랜섬웨어가 등장해 국내도 긴장하는 분위기다.  

해당 랜섬웨어는 ‘크립토락커(CTB-Locker)’의 일종으로 윈도우10을 다운받으라는 내용의 이메일로 가장해 사용자들에게 접근하는 것으로 알려졌다.

이와 함께 아직 확인되진 않았지만, 윈도우10을 사칭한 랜섬웨어가 국내에도 유입됐다는 의견이 제기됐다. 페이스북 사용자 중 하나가 자신이 윈도우10을 사칭한 랜섬웨어에 감염됐다는 글을 올린 것. 이와 관련 보안전문 파워 블로거 울지 않는 벌새(이하 벌새)는 “유입로그를 쭉 살펴보니 랜섬웨어 감염과 관련된 것으로 추정된다”며 “국내에 랜섬웨어가 유입됐지만 윈도우10과 관련된 랜섬웨어인지 국내 웹사이트에서 뿌려진건지 아직 확인되지 않았다”고 설명했다.

이와 관련 한 보안전문가는 “이메일로 뿌려지는 랜섬웨어의 경우 국경이 없기 때문에 국내 유포가 가능하다”며 “하지만 실제 윈도우10을 사칭한 랜섬웨어 감염자가 있는지는 아직까지 확인되지 않았다”고 말했다.

또 다른 보안전문가 역시 “해당 랜섬웨어가 국내에 유포됐다는 사실은 알고 있지만 실제 감염 여부는 알 수 없다”고 밝혔다.

그러나 랜섬웨어 악성코드의 경우 자신들의 암호화 알고리즘이 깨지면 변종을 만들어서 암호를 풀 수 없게 지속적으로 발전을 거듭하면서 광범위하게 유포되기 때문에 국내 사용자가 윈도우10을 가장한 랜섬웨어에 감염되는 것은 시간문제라는 지적이다.
 

게다가 최근에는 웹서버 파일들을 RSA-1024로 암호화하고 비트코인을 요구하는 랜섬웨어도 등장했다.

이와 관련 하우리 최상명 CERT 실장은 “해당 악성코드는 웹서버 파일을 감염시킨 후 암호화한 파일들에 NK_, BA_, HKK_ 등 2~3자리 영문_ Prefix를 추가한다”며 “주로 아시아 지역의 웹서버들이 감염대상으로 추정되며, 각 나라별로 감염된 지역의 비트코인 거래소를 안내한다. 그리고 ‘영문2~3자리_ IN YOUR FILES..txt’ 또는 ‘WHAT IS 영문2~3자리_.txt’로 복호화하는 방법을 적은 파일을 생성한다”며 주의를 당부했다.

이처럼 랜섬웨어가 갈수록 활개를 치면서 진화하는 양상이다. 특히, 랜섬웨어는 취약점을 통한 감염도 많지만 메일을 통한 첨부파일 유포 방식도 많이 사용되고 있어 각별한 주의가 필요하다. 이에 따라 사용자는 꾸준한 보안 패치와 함께 의심스러운 파일을 실행하지 않도록 주의해야 한다는 게 보안전문가들의 공통된 의견이다.

팀뷰어, 무단 결제 사건 발생

지난 7월 24일에는 한 커뮤니티 사이트에서 팀뷰어를 통해 무단 결제됐다는 내용의 글이 올라왔다.

해당 게시글 내용을 살펴보면 ‘새벽 2시 41분 44분경 200만원 상당의 위메프랑 현대홈쇼핑 결제 문자 총 11건을 받았다’며 ‘새벽에 결제할 일이 없어서 확인해 봤더니 누군가 해킹한 것 같다며 혹시나 싶어서 사무실에 접속을 해보니 급하게 창을 닫고 있는 걸 포착했다’고 밝혔다. 이어 피해자는 현대홈쇼핑 상품목록이랑 이름 정도만 팀뷰어를 통해 확인했다고 덧붙였다.

그러면서 그는 현대홈쇼핑과 위메프는 본인 아이디로 접속해서 결제했는데, 간편 결제나 공인인증서 비번을 해킹 당한 것 같다고 분석했다.

이에 대해 벌새는 “PC의 악성코드 감염보다는 팀뷰어 계정이 외부에 노출됐거나 유추가 가능해 발생한 것 같다”며 “팀뷰어를 항상 켜둔 상태로 사용하는 경우에는 비밀번호 수준을 높게 올리는 방법이 그나마 덜 위험하다”고 강조했다.

네이버 계정 탈취 위한 피싱도 활개

이어 네이버, 다음, 페이스북 등 계정탈취를 위한 피싱 사이트도 발견됐다. 

이와 관련 빛스캔 관계자는 “금주에는 공격자들이 자동화 공격도구를 활용하지 않고, 네이버 계정을 탈취해 스팸메일 등을 발송하는 수단으로 사용하기 위한 공격이 다수 중소기업 사이트에서 발견됐다”며 “이미 네이버 로그인 폼을 위장하여 계정 탈취를 하는 공격은 지난해부터 일부 등장하기 시작했고, 비슷한 시기에 다음과 페이스북 계정을 노린 피싱 사이트도 함께 발견됐다”고 밝혔다.

하지만 해당 피싱 사이트들은 짧은 기간 동안에 출현했기 때문에 개인정보 유출피해는 크지 않았을 것이라는 예측이다. 포털 사이트 계정만으로는 활용가치가 악성코드 유포에 비해 한정적이어서 공격의 주요 목적으로 보기는 어렵다는 분석이다. 

이외에도 지난 7월 29일에는 러시아 PoS 악성코드에 국내 사용자도 감염됐다는 소식도 전해졌으며, 한동안 잠잠했던 중국 파밍 조직이 7월 28일 경부터 8월 5일까지 최근 일주일 사이에 파밍 악성코드를 유포하며 다시 모습을 드러내고 있는 것으로 알려졌다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>