논문 송두리째 암호화 노린다...특정 표적 노린 랜섬웨어 상륙

수개월간 써 온 논문을 노리는 랜섬웨어가 발견됐다.

최근 랜섬웨어 공격자가 중요한 문서 파일을 가진 사람을 노리는 표적 공격을 감행해 주의가 요구된다. 29일 보안업계에 따르면 랜섬웨어 공격자는 한국000공학회 논문지 사이트 등에서 랜섬웨어를 유포했다. 짧게는 수개월에서 수년 간 연구한 결과물을 송두리째 암호화해 수익률을 높이는 시도다. 보안업계와 한국인터넷진흥원(KISA)이 함께 해당 사이트를 조치했다. 업계는 이런 형태 공격이 다른 곳에서 재발할 수 있어 주의를 당부했다.

랜섬웨어를 유포했던 한국000공학회 논문 접수 사이트.
랜섬웨어를 유포했던 한국000공학회 논문 접수 사이트.

공격자는 논문지 사이트에서 랜섬웨어를 몰래 숨기고 접수하러 들어온 피해자를 노린다. 한국000공학회 사이트에 접속만 해도 랜섬웨어에 감염된다. 학회 사이트는 보안에 미흡하기 일쑤다. 윈도와 어도비 플래시 등을 최신 상태로 업데이트하지 않은 사용자는 랜섬웨어에 취약하다.

논문사이트에서 유포 중인 랜섬웨어는 강력한 암호로 무장했다. 금융권이 쓰는 암호는 RSA2048비트(bit)인데 해당 랜섬웨어는 RSA4096bit다. 금융권이 쓰는 것보다 두 배나 강력하다. 사이버범죄자에게 대가를 주지 않고는 풀 수 없다.

해당 랜섬웨어는 바로 돈을 요구하지 않는다. 우선 중요 파일을 암호화한 후 12시간을 기다리라는 메시지를 띄운다. 논문 등 파일을 바로 복구할 수 있는 방법을 알려주지 않고 공포감을 극대화한다. 12시간 동안 논문을 되살릴 방법을 찾던 피해자는 몸값을 지불할 확률이 높아진다.

최상명 하우리 실장은 “대부분 공격자는 광고나 배너를 악용해 치고 빠지는 수법을 썼는데 이번에는 학회 사이트에서 직접 유포했다”며 “복호화할 중요 파일을 가진 특정 계층을 노렸다”고 분석했다.

신종 랜섬웨어 라다만트도 한국에 상륙했다.

한글로 안내를 보여주는 라다만트 랜섬웨어
한글로 안내를 보여주는 라다만트 랜섬웨어

라다만트는 12월 중순 해외에서 처음 발견된 후 최근 한글화 버전이 성탄절 기간 동안 쇼핑 사이트에서 유포됐다. 한국어로 안내하는 랜섬웨어는 크립토락커가 있었다. 랜섬웨어 공격자가 한국을 표적 대상으로 삼는 사례가 증가했다.

보안업계는 랜섬웨어 대응과 차단기술로 방어에 힘쓰지만 여의치 않다. 신종이 쏟아지고 기법도 지능화된 탓이다. 안랩과 이스트소프트가 행위기반으로 랜섬웨어를 탐지하지만 100% 방어는 힘들다.

박태환 안랩 ASEC대응팀장은 “사이버범죄자가 2년 만에 랜섬웨어 시장을 형성하고 산업화 체계를 갖췄다”며 “다양한 변종이 등장하고 암호화하는 파일 확장자를 늘리며 공격력이 강해졌다”고 설명했다. 그는 “일부 랜섬웨어는 명령&제어(C&C) 서버를 차단하면 복호화키가 없어져 몸값을 지불하고도 암호화를 풀 수 없다”며 “랜섬웨어는 기존 악성코드와 달리 대응이 까다롭다”고 덧붙였다.

김인순기자 insoon@etnews.com