'개인정보 침해 사고 관련 공지드립니다.'
지난해 개인정보 유출사고를 낸 인터파크를 사칭해 랜섬웨어 감염을 시도하는 이메일이 나타났다.
인터파크는 '개인정보 유출관련 사과공지 및 보상정책 안내'라는 이메일 주의를 공지했다. 인터파크는 최근 이런 내용 이메일을 보내지 않았다. 이스트시큐리티(대표 정상원)는 인터파크에서 지난해 유출된 '고객 개인정보 리스트'를 회사에서 발송하는 사칭한 랜섬웨어를 경고했다.
이메일에 포함된 악성파일은 '*.7z' 포맷으로 압축돼 있으며 해제하면 '개인정보유출고객리스트.doc', '개인정보유출공지.jpg' 총 2개의 파일이 나타난다.
압축 해제된 파일 중 이미지 파일로 보이는 '개인정보유출공지.jpg'의 실제 파일명은 '개인정보유출공지.jpg. lnk'이다.
공격자는 윈도 운용체계(OS)가 '확장자명 숨김 처리'를 기본 설정으로 제공한다는 점을 악용해, 실제 확장자명을 숨기기 위해 '이중 확장자'를 사용했다. 이 파일의 실제 확장자인 '*.lnk'는 바로가기 기능을 수행한다. 메일 수신자가 이미지로 위장된 바로 가기 파일을 실행할 경우 비너스락커 변종 랜섬웨어가 실행되어 PC에 저장된 각종 파일이 인질로 잡힌다.
이스트시큐리티 시큐리티대응센터는 “악성 파일은 지난해 발생한 인터파크 '고객 개인 정보 리스트'를 사칭한 압축 파일 형태로 유포되고 있다”면서 “비너스락커 랜섬웨어 변종으로, 사용자가 호기심으로 첨부된 파일을 클릭하면 그 즉시 랜섬웨어에 감염된다”고 경고했다.
알약은 공격에 사용된 악성 파일을 'Trojan.Ransom.VenusLocker'로 탐지 및 치료하고 있다.
김인순 보안 전문기자 insoon@etnews.com
