'예약문의' 이메일 여니 해킹 후 "비트코인 내놔라" 협박
by이승현 기자
2017.02.14 12:10:00
警, 신종 랜섬웨어 ''비너스락커'' 피해 접수 및 수사
명함제작 주문 등 구체적 글로 속여 파일 암호화 뒤 금품 요구
"한국인 가담 정황…출처 불분명 첨부파일 실행 말아야"
| 신종 랜섬웨어 ‘비너스락커’가 실제 피싱 전자우편에 사용한 예약관련 문의 문구. (자료=경찰청) |
|
[이데일리 이승현 기자] 예약 관련 문의와 구직 지원, 명함제작 주문 등의 글로 위장한 피싱 전자우편을 보내 컴퓨터 파일을 강제 암호화하고선 해제 조건으로 금품을 요구하는 신종 랜섬웨어(ransom ware)가 퍼지고 있어 주의가 요구된다. 기존 랜섬웨어가 영문 전자우편 형태로 특정 사이트에서 불특정 다수에게 유포되는 것과 달리 신종은 정교한 내용의 한글 문구로 타깃을 정해 보내는 형식이다.
경찰청 사이버안전과는 신종 랜섬웨어인 ‘비너스락커’(Venuslocker)가 지난해 말부터 공공기관과 기업 등에 유포됐으며 올 들어서만 경찰 누리집에 총 10건의 피해사례가 접수돼 수사에 나섰다고 14일 밝혔다.
경찰과 보안업체 하우리에 따르면 이 랜섬웨어는 구체적 내용의 글과 함께 ‘.doc’(MS워드) 혹은 ‘.jpg’(그림) 확장자의 첨부파일을 전자우편으로 유포한다. 첨부파일은 실제로는 ‘.lnk’(바로가기) 확장자의 악성코드로 수신자가 이를 클릭하면 본인 컴퓨터 내의 ‘.hwp’(한글) 등 파일을 ‘.venusp’ 혹은 ‘.venusf’ 확장자로 암호화한다. 이후 랜섬웨어 유포자는 피해자에게 암호를 풀려면 가상화폐 1비트코인(현재 120만원 상당)을 72시간 이내에 입금하라고 협박한다.
경찰은 비너스락커의 경우 피해자들을 쉽게 속이고 외부의 추적에는 걸리지 않도록 수법이 진화했다고 평가했다.
| 신종 랜섬웨어 ‘비너스락커’가 실제 피싱 전자우편에 사용한 명함제작 주문 문구. (자료=경찰청) |
|
이 랜섬웨어는 지난 1월 수사기관과 보안업체의 악성코드 분석을 방해하기 위해 난독화 기능을 추가했다. 이달에는 ‘.hwp’ 확장자를 가진 한글문서 암호화 기능까지 추가했다.
미끼가 되는 전자우편 글은 2016년 12월 연말정산, 2017년 1월 인사발령, 2017년 2월 구인구직 등 시기별로 각각 바뀌었다. 특히 비너스락커의 경우 여러 공공기관과 금전지불 능력이 있는 소상공인 등에 맞춤형으로 유포된 점이 특징이다.
경찰 관계자는 “이 랜섬웨어 유포자는 피해자와 전자우편 답장을 주고받는 등 기존 사례와 차별화된 양상을 보이다”며 “한국어를 자연스럽게 구사한다는 점에서 한국인이 범행에 가담한 정황이 포착된다”고 설명했다.
경찰은 이 랜섬웨어의 피해사건을 수사하면서 ‘사이버 캅’ 어플리케이션과 사이버안전국 누리집에 피해사례와 대응 요령 등을 게시했다. 경찰은 “랜섬웨어는 예방이 가장 중요하다”며 “중요 자료는 외부 저장장치나 인터넷에 백업을 해야 하고 출처가 불명확한 전자우편의 첨부파일은 실행하지 않아야 한다”고 당부했다.
| 신종 랜섬웨어 ‘비너스락커’에 감염된 컴퓨터의 바탕화면. (자료=경찰청) |
|