정보보안업체 “中 기업 컴퓨터, ‘Globelmoster’에 감염 피해 입어”
‘Globelmoster’ 랜섬웨어, 파일 암호화 후 확장자 ‘skunk’로 바꿔

[보안뉴스 온기홍=중국 베이징] 중국에서 이른바 ‘Ransom.Globelmoster’로 불리는 랜섬웨어 변종에 의해 감염 피해가 발생한 것으로 드러났다. 중국 정보보안업체인 루이싱정보기술은 최근 중국 내 컴퓨터 사용자의 ‘Ransom.Globelmoster’ 감염 피해 신고를 바탕으로 이 같이 밝혔다.

루이싱정보기술은 지난 19일 중국 내 누리꾼이 보안 커뮤니티 웹사이트에 올린 피드백을 통해 자신의 서버가 랜섬웨어에 감염됐음을 전했다고 밝혔다. 이 누리꾼은 자신의 서버에 있는 모든 파일이 모두 암호화됐다고 전했다. 이후 파일의 확장자는 ‘skunk’로 바꿔졌다.

이 회사는 자체 조사 분석 결과, 이는 ‘Ransom.Globelmoster’ 랜섬웨어에 감염된 데 따른 것이라고 밝혔다. 하지만 이번 랜섬웨어 감염 피해를 입은 누리꾼의 신분이나 기업명은 밝히지 않았다.


분석 결과, 컴퓨터가 ‘Ransom.Globelmoster’ 랜섬웨어에 감염된 후 시스템의 파일들에 확장자 ‘skunk’가 더해졌다. 이어 ‘how_to_back-files’라는 html 파일이 나타나는데, 이 파일을 열면 ‘모든 파일들이 암호화됐다’는 제목으로 시작되는 내용이 있다.


구체적으로 보면, 이 ‘Ransom.Globelmoster’는 실행 이후 리소스 중에서 암호 생성 파일의 확장자를 복호화(암호해제)하고, 파일명을 띄운다고 이 회사는 밝혔다. 그 뒤 이 랜섬웨어는 ‘%appdata%\Microsoft\SystemCertificates\My\Certificates\’ 디렉토리 안에 자기복제를 한다. 이어 대량의 배치 파일을 릴리즈하고 실행시킨다고 이 회사는 덧붙였다.

이어 지정 프로세스가 종료된 뒤, 지정 루트를 건너뛰고 암호화를 하지 않는 것으로 나타났다. 그리고 전체 디스크의 파일을 암호화한 다음, ‘모든 파일이 암호화됐다’는 메시지 화면을 내보낸다. 메시지에는 컴퓨터 사용자에게 파일 복호화를 원하면 전자우편을 보내라는 내용이 들어 있다.

‘Ransom.Globelmoster’ 랜섬웨어에 감염 피해를 입은 컴퓨터에는 중국 정보보안업체 360의 백신프로그램이 깔려 있었으나, 이 랜섬웨어에 감염된 이후에는 백신프로그램이 존재하지 않는 것으로 드러났다. 이에 대해 루이싱정보기술은 “백신프로그램이 바이러스에 의해 제거됐을 것으로 보인다”고 설명했다.

특히 루이싱정보기술은 “이번 컴퓨터 사용자가 피드백한 바이러스는 순전히 암호화기이고, 감염 모듈이 없다”며, “사용자의 서버가 바이러스에 감염돼 서버 상에 보안취약점 존재하거나 취약한 패스워드 때문에 해커에 의해 이 바이러스가 삽입돼 랜섬 행위를 한 것으로 보인다”고 밝혔다.

사용자들은 서버에 보안 취약점이 있는지 여부를 살피고, 서버 시스템의 보안 패치를 업데이트하며, 정기적으로 관리자 계정과 비밀번호를 바꾸는 게 필요하다고 이 회사는 강조했다.

한편 지난 6월 유럽을 중심으로 발생한 페트야(Petya) 랜섬웨어가 같은 달 27일 이후 중국 베이징, 상하이, 간쑤성, 장쑤성, 랴오닝성 등지에서 소량의 컴퓨터를 감염시킨 것으로 확인됐다. 이들 지역 내 일부 기업들의 컴퓨터 전산망이 페트야 랜섬웨어의 공격을 받아 감염 피해를 입었으며, 유럽에 지사를 둔 중국 내 기업들도 페트야 랜섬웨어 공격을 받은 것으로 전해졌다.
[중국 베이징 / 온기홍 특파원 onkihong@yahoo.com]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>