by이재운 기자
2018.11.30 11:38:31
[이데일리 이재운 기자] 정보보안 업체 안랩(053800)은 최근 웹사이트의 광고를 이용해 유포되는 ‘선(Seon) 랜섬웨어’가 발견돼 사용자들의 주의가 요구된다고 30일 밝혔다.
공격자는 먼저 특정 웹사이트의 광고서버 취약점을 악용해 관리자 권한을 획득하고, 사이트 내 광고에 악성 스크립트(실행 코드)를 삽입했다.
사용자가 해당 웹사이트에 접속하면 광고에 삽입된 악성 스크립트가 자동으로 동작, 악성코드 유포 도구인 ‘그린플래시 선다운 익스플로잇 킷’을 실행한다. 이 도구는 사용자 PC의 어도비 플래시플레이어 버전을 확인해 구버전일 경우에만 동작해 취약점을 이용, 랜섬웨어에 감염시킨다.
이번 랜섬웨어 감염사례는 국내의 특정 뉴스 사이트의 광고에서 발견되고 있다는 점에서 공격자가 국내 사용자를 목표로 삼은 것으로 추정된다.
이 랜섬웨어에 감염되면 사용자 파일이 암호화되며 파일 확장자가 ‘.FIXT’로 바뀐다. 이후 비트코인 등 암호화폐를 해제 대가로 요구한다.
랜섬웨어 피해를 줄이기 위해서는 △안정성이 확인되지 않은 웹사이트 방문 자제 △운영체제(OS)와 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 소프트웨어(SW) 등 프로그램 최신 보안 패치 적용 △최신 버전 백신 사용 △중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 준수해야 한다.
박태환 안랩 ASEC대응팀장은 “이번 랜섬웨어는 향후 이력서나 정상 설치 파일로 위장하는 등 다양한 방법으로 계속 유포될 수 있어 사용자의 주의가 필요하다”고 말했다.