“1월~3월 중국에서 록키 랜섬웨어 3만6,986개 탐지돼”

[보안뉴스 온기홍= 중국 베이징] 중국에서도 최근 새로운 랜섬웨어(Ransomware)인 록키(Locky) 바이러스가 광범위하게 퍼지고 있고 감염피해도 늘고 있는 것으로 드러났다. 올해 들어 1~3월 중 3만7,000개의 록키 랜섬웨어가 정보보안업체에 의해 탐지됐다. 록키에 감염된 컴퓨터 사용자 수는 지난 3개월 동안 연인원 82만8500여 명에 달한 것으로 밝혀졌다.

중국 정보보안업체 루이싱정보기술은 지난 1월부터 3월까지 자체 ‘클라우드 보안’ 시스템을 써서 중국 내에서 ‘록키 랜섬웨어’ 3만6,986개를 탐지했다고 최근 밝혔다. 또한 1월~3월 중국에서 록키 랜섬웨어에 감염 피해를 입은 컴퓨터 사용자 수는 연인원 82만8,527명에 달했다고 이 회사는 덧붙였다.


이 회사는 “최근 중국에서 ‘록키 랜섬웨어’가 광범위하게 폭증하고 있고, 많은 기업과 개인 컴퓨터 사용자들이 이 랜섬웨어로부터 위협을 받고 있다”며 이 같이 밝혔다. 지난 1월~3월 사이 중국에서 Tesla와 Locky 등 랜섬웨어에 감염된 기기의 수량을 날짜별로 보면, 1월 초부터 3월 중순까지는 매일 50대 안팎을 기록하다가 3월 17일 100대에 달하면서 급증을 예고했다. 이후 급증세를 보이면서 3월 18일~25일 사이 600대로 폭증했고 25일에는 633대를 기록했다.

이 회사가 1월~3월 중국내에서 Tesla와 Locky 등 랜섬웨어류 악성 SW를 탐지해 낸 수량을 보면, 1월 중 4일 341개, 11일 735개, 18일 676개, 25일 617개, 2월에는 1일 400개, 8일 329개, 15일 466개를 기록한 뒤 갑자기 급증하기 시작했다. 2월 22일 6만1,491개로 폭증한 데 이어, 2월 29일 11만1,169개, 3월 7일 22만7,225개로 가파른 증가세를 보였다. 그 뒤 3월 14일에는 23만1,290개로 최고치를 기록했다. 이후 증가세가 한풀 꺾이면서 3월 21일 13만1,883개, 28일 6만1,196개를 각각 기록했다.

이 기간 지역별로 랜섬웨어 종류의 악성 SW(Tesla, Locky) 탐지량 분포 상황을 보면, 피해자들은 베이징시, 광동성 순으로 많은 것으로 나타났다. 두 지역의 감염 피해자는 각각 8만명을 넘어 다른 지역들보다 압도적으로 많은 규모로 나란히 1위, 2위를 기록했다. 이어 푸젠성, 장쑤성, 쓰촨성, 허난성, 광시자치구, 저쟝성, 랴오닝성은 각각 3만 명이 넘는 피해자가 발생했다.

지난 1월~3월 중국에서 기승을 부린 랜섬웨어는 크게 ‘Tesla’와 ‘Locky’ 등 두 가지이고 이 둘은 전체 작동 체계상 매우 비슷하며, 록키가 더 많이 유포됐다고 이 회사는 밝혔다.


이 회사의 안티바이러스 전문가들은 “록키 랜섬웨어는 주로 악성 피싱 메일을 통해 유포되는데, 컴퓨터 사용자가 메일 첨부파일을 열면 랜섬웨어는 컴퓨터 안의 각종 파일을 암호화해서 사용자가 열 수 없게 만든 다음, 팝업창을 띄워 정해진 시간 안에 돈을 내라는 갈취 정보를 내보낸다”고 설명했다. 만일 사용자가 지정된 시간 안에 해커가 요구한 금액을 보내지 않으면 잠긴 파일을 복구할 수 없다. 록키 랜섬웨어는 암호화된 파일의 확장자를 ‘.locky’로 바꾼다.

변종 랜섬웨어는 프로그래밍 언어인 자바스크립트(.js)를 압축파일(.zip)에 담아 전자우편에 첨부해서 유포하며, 사용자가 이 첨부파일을 열면 첨부파일 내 악성 자바스크립트가 실행되고 랜섬웨어를 내려 받는다. 컴퓨터가 감염되면 각종 파일을 암호화하고, 파일들을 ‘locky’ 확장자로 바꿔 사용할 수 없게 만든 뒤 암호화 해제의 대가로 사용자에게 금전(비트 코인)을 요구한다.

이 회사는 “올해부터 대대적으로 중국 지역을 감염시키기 시작한 록키 랜섬웨어는 기술 지원이 활발하고 업데이트가 빈번해, 많은 컴퓨터 사용자들에게 심각한 보안 위협을 가하고 있다”고 지적했다. 피싱 공격을 하는 전자우편의 제목과 본문 내용, 첨부 파일에는 billing, invoice, payment, derails, document, Post_Tracking, Post_Shipment, FedEx_ID, Notice_to_Appear, Count_Notification, Post-Parcel, Post-Tracking, Post-Shipment, FedEx-ID, Notice-to-Appear, Count-Notification, urgent, transaction 따위의 키워드가 들어 있다. 록키 랜섬에어 변종은 이런 위장 수법으로 많은 사용자들을 꾀어 속임수에 빠지게 하고 있다.

록키 랜섬웨어는 공격 과정에서 백신 SW로부터 탐지와 삭제를 피하는 기술과 파일암호화 기술이 지속적으로 새로워지고 있으며, 록키 랜섬웨어 제작자는 이미 상대적으로 성숙하고 완벽한 조직(팀)화와 산업화 운영 방식을 갖췄다고 안티바이러스 전문가들은 설명했다.


이 회사는 록키 랜섬웨어가 글로벌화한 피싱 공격 방식을 취하고 있으며, 바이러스 유포지의 대부분은 유럽과 북미 지역으로 각각 44%와 39%의 비중을 차지하고 있다고 추산했다. 이와 관련 이 회사는 랜섬웨어의 유포지 중 3분의 1 이상은 러시아와 우크라이나였으며, 바이러스 코드 중 슬라브어계(러시아어)의 문자부호 코드를 사용한 것으로 드러났다고 주장했다.

이 회사는 “공격 과정에서 일부러 러시아어 지역을 비켜갔다”며 “이런 점 때문에 록키 랜섬웨어 공격의 일부는 러시아의 해커 집단의 소행일 가능성이 높다”고 추정했다. 최대한 러시아 지역을 비켜가려고 한 점은 본국의 형사 책임을 피하기 위한 것이라는 분석이다.

중국 내 보안전문가들은 록키 랜섬웨어가 최근 중국에서 광범위하게 퍼지고 있으므로 기업과 개인 사용자들은 즉시 보안 조치를 취해야 한다고 당부했다. 수상한 전자우편은 삭제하고 백신과 보안 프로그램을 최신 버전으로 유지하는 게 필요하다. 전자우편에 첨부된 압축파일에 자바스크립트(.js) 확장자가 있으면 이를 실행해서는 안 된다.

기업 사용자들의 경우 악성 소프트웨어 방어 기능을 갖춘 전자우편 보안 제품, 네트워크 관리 바이러스 방지 제품, 신속한 대응 능력을 가진 기업의 바이러스 방지 소프트웨어를 반드시 설치하는 한편, 데이터 백업 작업도 잘 진행해야 한다고 보안전문가들은 강조했다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>