추석연휴 시작일인 29일부터 랜섬웨어 유포...국내 PC감염 피해 발생
Qbridge라는 불필요한 프로그램(PUP) 모듈 통해 유포

[보안뉴스 김경애 기자] 연휴 시작과 동시에 올크라이(Allcry) 랜섬웨어가 기승을 부리고 있어 인터넷 이용자들의 각별한 주의가 요구된다.


하우리 최상명 CERT 실장은 “추석연휴 시작일부터 올크라이 랜섬웨어가 기승을 부리고 있다”며 “웹하드 업체 프로그램을 통해 현재 유포되고 있으며, 국내에서 감염보고가 많이 발생하고 있는 만큼 이용자들의 각별한 주의가 필요하다”고 당부했다.


감염 시 PC내 주요 자료들의 파일이 암호화되고 확장자가 ‘.allcry’으로 변경된다. 또한, 암호화하는 확장자 목록에 한글 문서 파일인 ‘hwp’ 파일도 포함되어 있는 점에서 국내 사용자를 대상으로 하고 있음을 확인할 수 있다. 랜섬웨어에 감염되면 모든 파일의 파일명 및 확장자가 변경된 후 사용자에게 감염 사실을 알린다.
​
올크라이 랜섬웨어에 감염된 PC 화면에 띄워진 랜섬노트에는 ‘일부 파일이 암호화되었다며 비트코인 0.2를 지갑주소에 넣어 보낼 것’을 요구하고 있다. 또한, ‘하드웨어 코드를 메일주소로 보내면 암호해제 프로그램과 암호를 보내겠다. 7일 이내 지불이 없으면 더 이상 해독을 지원하지 않겠다’고 협박하고 있다.

또한, 이번 랜섬웨어는 Qbridge라는 불필요한 프로그램(PUP) 모듈을 통해 유포되고 있으며, 워너크라이(WannaCry)와 흡사한 형태를 띄고 있다는 게 보안전문가의 분석이다.

북한의 사이버공격을 전문적으로 연구하는 그룹에 따르면 이번에 발견된 올크라이 랜섬웨어는 코드 스타일이 기존에 북한 해커조직이 사용한 코드와 유사한 부분이 있다며 HWP 한글문서뿐만 아니라 일부 EXE 파일들도 암호화되고 있는 것으로 보여 세부적으로 분석중이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>