|
랜섬웨어(Ransomware)란 몸값을 의미하는 랜섬(Ransom)과 소프트웨어를 의미하는 웨어(Ware)를 합성해 만든 단어다. 해킹 등 사이버공격으로 파일이나 시스템을 먹통으로 만든 후 이를 해제해주는 조건으로 돈을 요구하는 데 쓰인다.
이번 랜섬웨어 공격의 주 대상은 공기업 사용자였다. 채용 공고를 올린 기업의 인사 담당자에게 “채용 공고를 보고 연락드린다” “면접이나 출근은 어떤 시간에도 가능하다” 등의 메시지와 함께 입사 지원서처럼 보이는 압축파일을 메일에 첨부하는 방식으로 이뤄졌다.
압축파일을 클릭한 뒤 메일 본문에 적힌 비밀번호로 잠금을 해제하면 ‘exe’ 확장자의 실행파일이 숨겨져 있다. ESRC는 “파일명과 확장자 사이에 다수의 공백이 추가됐다”며 “한글 파일과 엑셀 파일의 아이콘을 사용해 (악성코드 실행 파일의) 실행을 유도하고 있다”고 설명했다.
이 파일이 실행되면 그 때부터 문제가 커진다. 이용자의 PC 내에 있는 로컬 드라이브나 연결된 네트워크 공유 드라이브, 공유 폴더들을 모두 암호화하고 확장자를 ‘락빗’(lockbit)으로 바꿔버린다. 파일 복구를 어렵게 하기 위해 볼륨 섀도우 복사본과 로컬 시스템 백업도 삭제해버린다. 랜섬노트 생성 및 바탕화면도 바뀐다. 그제서야 이용자는 자신의 컴퓨터가 랜섬웨어에 감염된 것을 알게 된다.
또 다른 공격도 있다. 역시 입사지원서를 가장해 정보탈취 악성코드인 Vidar 악성코드 변종을 배포하는 공격이다. 이용자가 이 파일을 실행하면 이용자의 PC가 외부에 접속되고 일련의 프로그램들이 PC에 깔린다. 이후 PC의 인터넷 브라우저에 저장된 정보나 여타 정보들을 털어간다.
ESRC는 “입사 지원서를 위장한 피싱메일을 통해 랜섬웨어와 악성코드를 유포하는 방식은 공격자들이 즐겨 사용하는 방식”이라며 “이번 공격은 주로 공기업 사용자를 대상으로 진행됐다”고 했다.