국내 사용자를 겨냥해 한글 안내문을 띄워 금품을 요구하는 직소 랜섬웨어 변종이 발견돼 PC방에서도 주의가 요구된다.

이스트시큐리티(대표 정상원)는 영화 ‘쏘우(Saw)’에 등장했던 광대 마스크 ‘빌리 더 퍼펫’의 이미지와 함께, 일정 시간이 지날 때마다 암호화된 파일을 일부 삭제해 협박하는 직소 랜섬웨어를 닮은 새로운 변종 랜섬웨어가 국내에 유포 중인 정황을 포착했다고 밝혔다.

이스트시큐리티시큐리티대응센터(이하 ESRC)가 발견한 이번 랜섬웨어는 영화 쏘우의 내용과 유사하게 PC 화면에 창을 띄우고 한글로 된 대화 형태의 안내문을 한 줄씩 순차적으로 보여주며 암호 해제(복호화)를 위해 비트코인 결제를 하도록 종용한다.

또한 이 랜섬웨어는 ‘헤... 게임을 시작해 볼까요?’라는 문장을 띄우고 48시간이 지날 때마다 백 개의 파일이 반복적으로 삭제된다고 협박하는 등 기존 직소 랜섬웨어와 닮은꼴이다.

ESRC 측은 사용된 한글 안내문이 감탄사와 이모티콘을 적절히 사용하는 구어체로 작성되어 있고, 소스코드 내용에서 다량의 한글이 발견된 정황을 토대로 한국인 개발자가 직접 개발에 참여한 것으로 추정하고 있지만, 분석단계에서 실제 파일 암호화가 진행되지 않았고, 각종 오류(버그)도 발견됐기 때문에 테스트용일 가능성이 있다고 추측했다.

이스트시큐리티 김준섭 부사장은 “랜섬웨어가 사이버 공격자들의 새로운 수익원으로 자리 잡으며, 인터넷 보급률 세계 최상위권인 한국을 대상으로 하는 랜섬웨어 공격이 날로 증가하고 있다”며 “특히 이번 직소 랜섬웨의 변종을 통해 국내 사정에 정통한 한국인 개발자까지 랜섬웨어 공격에 뛰어든 것으로 추정되기 때문에 앞으로 국내 사용자의 심리와 특성을 정교히 활용한 더욱 진화된 공격이 나타날 수 있다”며 우려를 나타냈다.

경찰청 사이버안전국 안전서비스팀은 공식 홈페이지를 통해 이번 직소 랜섬웨어 변종처럼 꾸준히 증가하는 신종 랜섬웨어로부터 피해를 입지 않도록 예방에 각별히 주의할 것을 당부하고, 주기적인 자료 백업과 운영체제 및 프로그램의 최신 보안 업데이트 적용, 출처가 불분명한 메일과 파일 등의 실행 자제 등 랜섬웨어 피해 예방 수칙을 생활화할 것을 권고했다.

이번 랜섬웨어는 번역기 수준으로 한글을 표현했던 기존 랜섬웨어와 달리 구어체를 사용하고 있다는 점에서 국내 사용자를 겨냥한 랜섬웨어가 점점 더 교묘해지고 있음을 보여주고 있다. 사이버 공격자들의 실질적인 수입과 직결되는 이런 위협은 앞으로도 꾸준히 증가할 것이 분명하므로 PC방 역시 랜섬웨어에 대비해 보안 강화와 예방에 만전을 기해야 할 것으로 보인다.