오바마 전 미국 대통령을 협박 편지에 삽입한 랜섬웨어 나타나
시스템 내에서 .exe 파일만 골라 암호화...배후 세력 아직 몰라

[보안뉴스 문가용 기자] 미국의 전 대통령이자 최고 6천 5백만 달러의 저작료 계약까지 마친 버락 오바마(Barack Obama)의 이름을 이용한 기묘한 랜섬웨어가 발견됐다.


이 랜섬웨어의 정식 이름은 ‘버락 오바마의 영구한 파란 협박 메일 바이러스 랜섬웨어(Barack Obama┖s Everlasting Blue Blackmail Virus Ransomware)’로, 이를 제일 먼저 발견한 건 멀웨어헌터팀(MalwareHunterTeam)이다.

멀웨어헌터팀은 이 랜섬웨어의 독특한 점 두 가지를 다음과 같이 설명했다. “이름도 대단히 독특하긴 하지만 랜섬웨어로서 이 멀웨어의 가장 중요한 점은 .exe 파일만 암호화한다는 겁니다. 또한, 협박 편지 배경에는 버락 오바마 전 대통령이 팁을 달라고 요청하는 그림이 있다는 것도 독특합니다.”

피해자가 버락 오바마 랜섬웨어를 실행시키면 제일 먼저 카스퍼스키(Kaspersky), 맥아피(McAfee), 라이징 안티바이러스(Rising Antivirus)를 포함한 백신 소프트웨어와 관련이 있는 프로세스들을 종료시키라는 제안이 나온다. 이를 허락하면 랜섬웨어는 컴퓨터에서 .exe 파일을 검색하고 암호화한다고 한다.

뿐만 아니라 버락 오바마 랜섬웨어는 이 .exe 파일들과 관련이 있는 레지스트리 키들도 조작해 새로운 아이콘이 등장하게 하고, 누군가 시스템 내 .exe 파일을 실행시킬 경우 랜섬웨어가 매번 실행되도록 설계되어 있는 것으로 분석됐다.

아직 이 랜섬웨어의 배후 세력에 대해 드러난 바는 없다. 또한, 피해자가 돈을 입금했을 경우 약속처럼 복호화 키를 제공하는지도 알려진 바가 없다. 아직 사례가 부족하며, 현재로서는 보안 전문가들이 복호화 키를 개발하는 걸 기다리는 수밖에 방법이 없다고 한다.

2016년 미국 대선 직전, 사이버 범죄자들은 비슷한 일을 저질렀다. 도널드 트럼프 랜섬웨어(Donald Trump Ransomware)라는 걸 개발해 일부 피해자들을 공격한 것이다. 다만 도널드 트럼프 랜섬웨어는 개발 단계에 있던 멀웨어였고, 복호화 키를 스스로 가지고 있어 별다른 피해가 발생하지 않았다.

3줄 요약
1. 2016년 미 대선 전 트럼프 대통령 이름 딴 랜섬웨어 등장.
2. 2018년 미 중간 선거 전, 버락 오바마 대통령 이름 딴 랜섬웨어 등장.
3. 오바마 랜섬웨어는 .exe 파일만 암호화시키는 특징 가지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>