'견적 의뢰 요청' 메일 열자..."랜섬웨어 걸렸다"

글자 작게 글자 크게 인쇄하기
이스트시큐리티 제공
<이스트시큐리티 제공>

# 직장인 A씨는 업무 중 '견적 요청 드려요.'라는 제목의 메일 한통을 받았다. 견적 요청이라는 단어에 업무관련 일이라고 생각해 아무런 의심 없이 첨부된 파일을 다운받아 압축을 해제했다. 압축 해제로 나타나는 문서를 열자 순식간에 컴퓨터 바탕화면이 파란색으로 변하며 중요파일이 암호화 됐다.

이스트시큐리티, 안랩 등 보안업계에 따르면 최근 '견적 요청 드려요'라는 메일 제목과 함께 '견적요청.alz' 압축파일이 동봉된 랜섬웨어가 무차별 확산되고 있다. 이미 알려진 경찰청, 금융감독원, 검찰청 등 사칭과 달리 실제 업무과 연관된 피싱메일이 확산되면서 관련 피해도 걷잡을 수 없이 번진다.

해커는 '김성훈 팀장' '이성재' 등으로 발신자를 위장했고 메일 내용에는 “안녕하세요. 연일 업무에 수고가 많으십니다. 견적요청서를 첨부하였으니 참고 부탁드립니다. 감사합니다”라는 짧은 내용이 담겨있다.

사용자가 첨부된 압축파일을 다운받아 압축 해제 시 마이크로소프트(MS) 워드 문서(.doc)를 위장한 악성 실행 파일이 들어 있다. 악성 실행 파일은 '견적요청.doc(빈공백).exe'이라는 이중 확장자 형태다. 자세히 확인하지 않으면 해당 파일을 워드 문서 파일로 착각할 가능성 높다. 게다가 파일보기 형태를 큰 아이콘으로 해놓을 경우 악성 실행 파일이라는 것을 알아차리기 더욱 어렵다.

사용자가 해당 파일을 워드 문서로 착각해 실행하면, '소디노키비(Sodinokibi)' 랜섬웨어에 감염된다.

이스트시큐리티 제공
<이스트시큐리티 제공>

해당 랜섬웨어는 감염된 PC 바탕화면을 파란색으로 변경하고 랜섬노트를 통해 암호화된 파일을 복호화 하는 방법을 안내한다. 랜섬웨어에 감염된 파일을 복구하기 위해 토르(TOR) 브라우저 접속을 유도하고 0.28 비트코인을 요구한다. 현재 1비트코인은 약 960만원선을 유지하고 있다.

전문가는 랜섬웨어 피해를 예방하기 위해 △출처가 불분명한 메일의 첨부파일이나 URL 실행 자제 △운용체계(OS) 및 인터넷 브라우저, 응용프로그램, 오피스 SW등 프로그램 최신 버전 유지 및 보안 패치 적용 △정품 SW 및 콘텐츠 다운로드 △의심되는 웹사이트 방문 자제 △백신 프로그램 최신버전 유지 및 주기적 검사 △주기적 자료 백업 등 보안 수칙을 실행을 요구한다.

보안업계 관계자는 “최근 랜섬웨어가 제작자와 유포자가 분리된 서비스형 랜섬웨어(RaaS)로 발전해 시장 반응에 빠르게 움직인다”면서 “의심되는 메일은 가급적 열어보지 않고 첨부파일 다운로드 시 실제 문서파일 등인지 확인하는 습관이 필요하다”고 조언했다.

정영일기자 jung01@etnews.com