2014년부터 존재해왔던 오래된 랜섬웨어...하지만 지난 6개월 사이 급증
화면 잠금은 기본...스피커, 마이크로폰, 카메라까지 장악해

[보안뉴스 문가용 기자] 새로운 랜섬웨어가 안드로이드 환경에 등장했다. 그런데 그 등장 패턴이 조금 무시무시하다. 지난 6개월 동안 무려 600종의 변종이 만들어졌기 때문이다. 이 랜섬웨어의 이름은 에스락커(SLocker)로, 지난 해 10월부터 12월 초까지만 해도 약 100여 개의 변종이 활동하고 있을 뿐이었다. 에스락커의 왕성한 번식 상황에 대해 모바일 보안 전문업체인 완데라(Wandera)가 조사해 결과를 발표했다.


“에스락커 패밀리의 가장 큰 특징은 1) 다양한 탐지 우회 기법을 활용한다, 2) 이미지, 문서, 동영상 파일을 주로 암호화 한다, 3) 전화기기 자체도 잠가버린다, 정도로 정리할 수 있습니다.” 완데라의 제품 전략 담당자인 마이클 코빙턴(Michael Covington)의 설명이다. “피해자가 돈을 낼 때까지 기기를 계속 잠가두죠.”

하지만 이게 다가 아니다. 600종의 변종이 있는 만큼 위 세 가지 기본 특성에 더해 다양한 추가 기능들이 존재하기 때문이다. “핸드폰을 잠그는 건 기본이고요, 여기에 더해 관리자 권한까지 가져가 아예 통제권을 앗아가기도 합니다. 마이크로폰 기능을 장악하는 변종도 있고, 스피커를 장악하기도 하고, 카메라까지 통제하는 데 성공하는 변종도 있습니다.” 그러니 보안 담당자들은 골치가 아플 수밖에 없다.

보안 전문업체인 비트디펜더(Bitdefender)의 전자 위협 분석가인 보그단 보테자투(Bogdan Botezatu)는 “어떤 변종에 감염되었느냐에 따라 다르긴 하지만, 일단 에스락커에 걸렸다면 민감한 정보가 마구잡이로 유출될 가능성도 염두에 두어야 한다”고 경고한다. “사용자도 모르게 임원 회의 때 나온 말들이 유포되거나, 은밀한 사생활이 노출될 수도 있지요.”

완데라의 코빙턴은 “영업 담당자나 컨설팅 부서가 특히 조심해야 할 것”이라고 설명한다. “외근이 잦은 사람들이죠. 바깥에서 온갖 정보를 모바일에 저장하고, 외부에서 일하기 위해 내부 정보를 가져가기도 하는 사람들이며, 여러 알 수 없는 네트워크에 번번이 접속되는 이들입니다. 이런 사람들이 에스락커에 걸리면 어떻게 될까요? 일단 영업을 제대로 할 수 없다는 것 자체로 이미 회사가 피해를 봅니다. 영업 비밀이나 컨설팅 파트너사의 기밀이 위험해지는 것은 말할 것도 없고요.”

완데라에 의하면 현재까지 에스락커에 당한 기업 및 조직들은 약 100억 원의 피해를 입었다. 이는 범인들에게 건넨 액수만을 단순 집계한 것이다.

안드로이드 환경에서 랜섬웨어가 처음 등장한 것은 2014년의 일이다. Reveton/IcePol이라는 PC용 랜섬웨어를 만들던 이들이 안드로이드로 관심을 돌려 Android.Trojan.Koler.A를 만들어 유행시켰고, 뒤이어 Android.Trojan.SLocker를 흩뿌리기 시작했다. 즉 에스락커라는 이름은 사실 오래전부터 활용되어 왔던 것이다.

하지만 등장 후 2년까지 에스락커는 안드로이드 멀웨어 패밀리 중에서도 상위 20위권 정도에 머물렀다. 그러다가 2016년에 갑자기 10위권으로 진입했다. 보테자투는 “모바일 기기 자체를 잠가버리니 피해자들이 얼른 돈을 내고서라도 해결하고자 했다”며 “컴퓨터보다 모바일 기기가 훨씬 사용자들에게 친밀하고 개인적이죠. 그 점을 공략한 게 컸습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>