하우리(대표 김희천)는 최근 보안 채팅 프로그램으로 위장해 공인인증서를 탈취하고 금전을 요구하는 랜섬웨어를 경고했다.
사용자가 보안 채팅 프로그램을 실행하면 PC 내 각종 정보를 수집한다. 웹 브라우저 히스토리 정보를 수집해 웹 서핑 활동 내역을 감시한다. 공인인증서와 사용자 PC에 위치한 각종 인증서 파일을 수집한다. 해커는 정보를 압축해 암호화한 후 웹 기반 소스코드 저장소 `깃허브` 웹서버로 업로드한다.
랜섬웨어는 자기 자신을 시작 프로그램에 등록해 PC를 재부팅해도 지속 실행한다. 랜섬웨어는 “우리는 당신의 컴퓨터로부터 정보를 이미 가져갔으니, 이를 멈추기 위해서는 비트코인을 지불하라”라는 메시지를 남긴다. 특정 비트코인 지갑 주소로 1비트코인(한화 약 120만원)을 지불하라고 한다.
하우리 CERT실은 “이번에 발견된 랜섬웨어는 파일을 암호화하지 않고 인증서를 가져 간 후 금전을 요구 한다”며 “백신 프로그램을 최신으로 유지해야 최신 랜섬웨어를 예방할 수 있다”라고 밝혔다.
하우리 바이로봇은 해당 랜섬웨어를 “Trojan.Win32.Infostealer” 진단명으로 탐지·치료한다.
김인순 보안 전문기자 insoon@etnews.com