파일 확장자 `mp3`로 바꾸는 랜섬웨어 등장… 이중 프로세스로 탐지 우회

파일 확장자를 ‘.mp3’로 바꾸는 랜섬웨어가 국내에 등장했다. 지난해 유포돼 확장자를 ‘.micro’로 변경하는 테슬라크립트(TeslaCrypt) 변종이다. 이중 프로세스로 동작으로 보안제품에 적용된 행위기반 탐지 일부 기능을 회피한다. 올 들어 랜섬웨어 피해가 다소 줄었지만 다양한 변종이 등장해 주의가 요구된다.

파일 확장자를 ‘.mp3’로 바꾸는 랜섬웨어가 등장했다.ⓒ게티이미지뱅크
파일 확장자를 ‘.mp3’로 바꾸는 랜섬웨어가 등장했다.ⓒ게티이미지뱅크

보안 업계에 따르면 확장자를 mp3로 바꾸는 랜섬웨어는 설 연휴 직후인 지난 11일경부터 국내피해사례가 보고됐다. 온라인 커뮤니티와 네이버 지식인 서비스 등에도 관련 문의가 올라왔다.

기존 유포된 랜섬웨어는 문서 파일 등을 암호화한 후 확장자를 .ccc와 .vvv 등으로 변경했다. 파일 확장자가 생소해 랜섬웨어에 감염됐다는 사실을 한눈에 인식 가능했다. 이번 변종은 확장자를 음원파일과 같은 .mp3로 바꿔 피해자 혼란을 가중 시킨다. 파일을 실행해도 재생되지는 않는다.

이번 테슬라크립트 변종은 확장자를 음원파일과 같은 .mp3로 바꿔 피해자 혼란을 가중 시킨다.(사진:하우리)
이번 테슬라크립트 변종은 확장자를 음원파일과 같은 .mp3로 바꿔 피해자 혼란을 가중 시킨다.(사진:하우리)

확장자뿐만 아니라 암호화 프로세스 실행 기능도 진화했다. 기존에는 ‘볼륨섀도복사본서비스(VSS)’ 어드민을 호출해 삭제하는 기능과 파일을 암호화하는 기능이 단일 프로세스에서 이뤄졌다. 변종은 별도 두 개 프로세스로 진행된다. 탐지 우회 목적이다.

백신 등 일부 보안제품에서 VSS를 호출, 삭제하는 행위를 랜섬웨어 동작 신호로 인식하고 차단한다. 백업 등을 담당하는 VSS 삭제가 막히더라도 파일 암호화는 이뤄진다는 의미다.

김정훈 체크멀 대표는 “해외 일부 백신 제품이 적용한 행위기반 탐지 규칙을 우회하기 위한 것으로 보인다”며 “다양한 보안 솔루션이 행위기반 탐지로 랜섬웨어에 대응하고 있지만 랜섬웨어와 정상 상황을 구분하는 복합 행위기반 탐지가 필요하다”고 말했다.

암호화한 파일을 풀어주는 대가로는 미화 500달러에 상당하는 비트코인을 요구한다. 처음 제시한 제한시간이 지나면 가격을 두 배로 올린다. 암호화된 파일을 복호화하거나 복구하는 방법은 아직 없기 때문에 주기적 백업과 사전 예방이 중요하다.

암호화한 파일을 풀어주는 대가로는 미화 500달러에 상당하는 비트코인을 요구한다.(사진:하우리)
암호화한 파일을 풀어주는 대가로는 미화 500달러에 상당하는 비트코인을 요구한다.(사진:하우리)

지난해 기승을 부린 랜섬웨어는 올해 초 국내 피해가 다소 줄며 소강상태에 들어갔다. 최근 인터폴 위장 랜섬웨어 등 각종 변종이 등장해 활동 재개 조짐을 보인다. 해외에서 발견된 랜섬웨어가 점차 국내로 유입될 가능성이 높아 지속적 관심과 주의가 필요하다.

하우리 관계자는 “랜섬웨어 확장자가 .micro에서 .mp3 형식으로 지난주 목요일 이후 발견되고 있다”며 “소폭이지만 랜섬웨어 발견이 꾸준히 늘고 있어 위협 수준은 계속적으로 높아지고 있다”고 말했다.

박정은기자 jepark@etnews.com