암호화폐에 대한 높은 관심도 이용한 랜섬웨어 공격
대중들의 심리적 취약점도 간파하는 놀라운 공격 전략

[보안뉴스 문가용 기자] 새로운 암호화폐 코인이 나왔다. 스프라이트코인(SpriteCoin)이라고 한다. 세상에 만 가지가 넘는 암호화폐 코인이 존재한다고 하는데, 그 중에서 스프라이트코인이 빠르게 상위권으로 치닫고 있다는 소식이다.


코인판에 관심을 두고 있는데 스프라이트코인에 대해 들어본 적이 없다면? 정상이다. 왜냐하면 이는 실재하는 코인이 아니라 사이버 범죄자들이 만들어낸 가상의 가상화폐이기 때문이다. 뒤늦게 암호화폐에 관심을 갖게 되거나 투자할 생각이 있는 사람들을 꼬드기기 위한 도구라는 것이다.

이러한 공격 수법에 대해서 보안 업체 포티넷(Fortinet)이 22일자 블로그 포스팅을 통해 공개했다. “실제 스프라이트코인은 랜섬웨어의 이름입니다. 파일을 암호화 하는 것은 물론 크롬과 파이어폭스의 크리덴셜까지 수집합니다. 수집한 정보는 임베디드된 SQ라이트(SQLite) 엔진에 저장하고 이를 악성 행위자의 토르 웹사이트로 전송하죠.”

한편 범죄자들은 랜섬웨어에 감염된 피해자들에게 비트코인이 아니라 모네로를 요구한다고 한다. 모네로는 최근 범죄자들 사이에서 비트코인보다 더 인기가 높다. 요구하는 금액은 23일자 기준 90달러 정도인데, 돈을 지불해도 복호화가 되지 않는 경우가 많다고 포티넷은 경고한다. 심지어 2차 멀웨어가 복호화 키 대신 다운로드 되는 경우마저 있다고 한다.

“이 두 번째 멀웨어는 W32/Generic!tr이라는 이름을 가졌으며 인증서, 파싱 키를 수집하고 웹 카메라를 작동시키는 기능을 가졌습니다.”

스프라이트코인 랜섬웨어가 갖는 차별점은 암호화폐에 대한 일반 대중들의 높은 관심을 노린, 시의성 있는 공격이기 때문이다. 게다가 돈을 줄 테니 원상복귀 시켜달라는 요구에 오히려 한 차례 더 공격을 한다는 것도 드문 일이다. 포티넷은 이러한 방식의 공격이 앞으로도 계속해서 등장할 것이라고 예측한다.

한편 최초의 공격이 시작되는 곳은 온라인 포럼이라고 포티넷은 분석했다. 암호화폐 관련 커뮤니티나 일반적인 포럼 등에 암호화폐와 같은 제목으로 글을 올려 사람들이 클릭하도록 유도한 후, 악성 스프라이트코인 지갑 앱을 설치하도록 만드는 것이다.

암호화폐로서 스프라이트코인을 홍보하기 위한 홈페이지도 있다. “자바스크립트와 C로만 만들어진 암호화폐이며 크립토나이트(CryptoNight)라는 알고리즘을 사용한다고 소개가 되어 있습니다. 또한 최대 공급량이 1조 코인이며, 블록 타임은 45초라고 나와 있어 사람들이 강한 매력을 느끼게끔 했습니다.”

멀웨어를 다운로드 받아 설치하면 지갑 비밀번호를 입력하라는 창이 뜨고, 입력 후 ‘다음’을 누르면 ‘블록체인을 다운로드 받고 있습니다’라는 안내가 나온다. 하지만 뒤에서는 암호화가 한창 진행된다. 암호화가 끝난 후에는 공격자의 TOR 사이트와 연결 채널을 마련하고, 통신을 시작한다. 현재 이 멀웨어는 spritecoind.exe라는 파일명으로 전파되고 있다.

“사용자들은 암호화폐를 통한 일확천금의 유혹이 이미 인터넷 사용자들의 보안 취약점이 되어가고 있다”고 포티넷은 설명한다. “사이버 공간이 실제 생활 깊숙이 들어오게 되면서 대중들의 심리 상태마저 소프트웨어의 취약점처럼 작용하고 있습니다. 이를 알고 공략하는 범죄자들의 능력이 갈수록 정교해지고 있고요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>