기사입력 2017-02-14 19:31:10
기사수정 2017-02-14 20:36:34
비너스로커, 공공기관 중심 확산 / 디자인 시안 등 사칭 열도록 유도 / PC 파일 암호화한 뒤 금전 요구 / 경찰 “한국인 가담한 듯” 수사 착수
한국어 이메일로 제작된 신종 ‘랜섬웨어’가 처음 등장한 것으로 확인돼 컴퓨터 이용자들의 각별한 주의가 요구된다. 랜섬웨어는 상대방 PC의 파일 전부나 일부를 암호화한 뒤 해제하는 대가로 돈을 요구하는 악성코드다.
경찰청 사이버안전국은 ‘비너스로커(Venuslocker)’라는 렌섬웨어가 지난해 말부터 공공기관과 기업을 중심으로 확산하고 있어 수사에 착수했다고 14일 밝혔다. 비너스로커는 피해자 PC 파일을 ‘.venusp’, ‘.venusf’ 확장자로 암호화는 방식을 따 이름이 붙여졌다. 비너스로커는 영문 이메일로 된 이전의 랜섬웨어와 달리 한국어로 된 이메일을 이용한 랜섬웨어다. ‘피싱 범죄’에 대한 경각심이 높아지면서 한국 내에서는 영문 이메일을 통한 사기가 여의치 않자 등장한 것으로 풀이된다.
비너스로커는 여행일정 예약 문의나 인쇄업체 명함 디자인 시안 등을 사칭한 한국어 이메일을 보내 피해자가 무심결에 파일을 열어보도록 유도한다. 가령 특정 업체 이메일로 보낸 입사지원 메일에 “세부사항과 신분증 사본은 지원서 파일에 있다. 꼭 일하고 싶다”고 써 파일을 열어보도록 하는 것이다. 이에 문서파일(.doc)이나 그림파일(.jpg) 등으로 된 첨부파일을 실행하면 PC가 암호화돼 잠기면서 “암호를 풀려면 온라인상 가상화폐 1비트코인(120만원 상당)을 72시간 내 입금하라”고 요구한다. 문서파일 등으로 위장돼 있으나 실제로는 바로가기(.lnk) 확장자 파일이고, 즉시 다른 악성코드 파일이 실행되는 구조다. 경찰은 “자연스러운 한국어를 구사한다는 점에서 한국인이 범행에 가담한 것으로 보인다”고 분석했다.
비너스로커는 연말부터 올 초까지 연말정산, 인사발령, 구인구직 등 시기에 따라 ‘맞춤형’으로 이메일 내용을 바꾸면서 공공기관이나 금전 능력이 있는 소상공인을 대상으로 한국어 랜셈웨어를 유포하고 있다. 최근에는 악성코드 분석을 방해하려고 소스코드를 읽기 어렵게 하거나 .hwp 확장자로 된 아래아 한글 문서 암호화 기능까지 추가하는 등 프로그램도 진화를 거듭하고 있다. 경찰청 사이버안전국 홈페이지에는 현재까지 피해 사례 10건이 접수됐다.
피해 예방과 관련해 경찰 관계자는 “출처가 불분명한 이메일의 첨부파일은 실행하지 말고, 운영체제와 인터넷 브라우저 등을 최신 버전으로 업데이트하라”며 “또 랜섬웨어 전용 백신 프로그램을 사용하고 이중 확장자(.doc.lnk 또는 .jpg.lnk)가 붙은 문서나 이미지 파일은 함부로 실행하지 않는 게 좋다”고 당부했다. 경찰은 ‘이창수’라는 이름의 발신자 계정(changsoo lee<leechangsoo1125@gmail.com>)이 쓰인 피해 사례와 대응 요령을 애플리케이션 ‘사이버캅’과 사이버안전국 홈페이지에 올렸다.
박현준 기자
hjunpark@segye.com