한국어 상담지원까지. 발전하는 랜섬웨어의 확산과 위험

랜섬웨어. 중국어로는 勒索软件라 하여 직역으로 '돈을 강탈하는 소프트웨어'라 불리고 있다.

랜섬웨어는 Ransom(몸값)+Ware(제품)의 합성어이며 사용자의 동의 없이 불법 설치되어 사용자의 파일을 인질로 잡아 금전요구를 하는 프로그램을 말한다. 

특히 비트코인의 등장으로 범죄자의 추적이 더욱 어려워졌고, 돈을 지급한다 하더라도 복호화를 해준다는 보장도 없기때문에 더더욱 위험하다. 인질로 잡는 파일 종류는 주로 업무용에 쓰이는 경우가 많다.( xls, doc, pdf, jpg, rar, zip, hwp, png, psd, java, js 등등)

한국에서는 2015년 들어 한국웹에서 급격히 유행하였고, 가짜이메일, 취약 사이트와 심지어 구글 애드센스 등의 광고창에도 심어져 들어오기도 했다. 최근 한국어 상담까지 지원하는 랜섬웨어들이 등장하였다. 그 중 2가지를 아래에서 간단히 다뤄보고자 한다.

■ 비너스락커 랜섬웨어

금일자에 기사로 나온 랜섬웨어인 '비너스락커 랜섬웨어'다. 경로는 위장된 이메일이라고 하며, 좌측사진이 해당 이메일이다. 국비지원이라는 주제로 저렇게 잘 작성을 한 것을 보면 굉장히 한국정서를 잘 알고있어야만 한다는 것이다. 한영번역기로 할 수 있는 수준이 아니라는 것.

이에 반해 우측의 메세지는 굉장히 어눌한 한국어를 보여주는데 오히려 위장전술이 아니냐는 평이 나오고 있다. 공격자는 자신의 신분을 숨기고 수사기관의 추적을 회피하기 위한 목적으로 다양한 국가에 기반을 둔 명령제어(C&C) 서버를 이용하고 있으며, 초기에는 러시아 소재의 서버를 사용했지만 최근에는 네덜란드, 루마니아 등 서버의 소재지를 변경시키고 있는 것으로 나타났다.

■ Sage 랜섬웨어

그저께 기사로 다루어졌다. Sage 랜섬웨어이다. 세이지 랜섬웨어에 감염되면 왼쪽 사진의 바탕화면이 보이며 주요 파일들의 확장자명들이 .sage로 변하게 된다. 우측 사진의 윗 상단에 보면 다양한 언어를 지원하는 것을 확인할 수 있다. 세이지 랜섬웨어도 세계적으로 문제되는 악성프로그램인데, 최근 2.2버전으로 업데이트되면서 파일 복구 지침 안내문에 한국어가 추가되었다. 

악성코드 유포 공격도구인 '선다운(SunDown)' 익스플로잇킷을 통해 국내에 유포되고 있었으며, 기존에 사용하던 이메일 유포방식에서 웹 유포방식으로 공격방법을 확장했다.

■ 개인적인 생각 + 마침

이렇게 랜섬웨어들이 한국어를 지원한다는 것은 그만큼 한국에서 복호화 요청이 공격자측에 많이 온 것이 아닐까. 그렇기에 더 많은 수익을 위해서 이런 언어패치가 이루어진 것 같다. 백신으로 어느정도 잡아낼 수 있다고는 하지만 그 말인 즉슨 어느정도는 잡아낼 수 없다라는 말이다. 사용자 개인이 올바르고 건강한 웹 습관을 가지는 것이 가장 좋은 보안책이 아닐까 싶다.