시스템에 침투해 파일을 암호화하고 대가로 가상화폐를 요구하는 랜섬웨어가 최근 들어 더욱 기승을 부리고 있어 PC방 보안에 각별한 주의가 요구된다.

최근 등장한 랜섬웨어는 이력서 또는 이미지 저작권 위반을 경고하는 이메일로 위장해 유포되거나 동영상 사이트에 숨어 시스템에 침투하는 등 다양한 방법으로 퍼지고 있다.

이력서로 위장해 메일로 유포되는 ‘시그마(Sigma)’ 랜섬웨어는 보안전문기업 하우리(대표 김희천)가 발견해 경고에 나섰다.

다양한 채용공고에 대한 입사 지원 형태로 랜섬웨어가 포함된 이력서 워드 문서 파일을 첨부하여 이메일을 통해 발송되는 시그마 랜섬웨어는 이메일의 지원 문구와 지원자 이름을 달리해 중복을 피하고 있으며 현재 전 세계를 대상으로 광범위하게 유포되고 있다.

특히 이력서 워드 문서는 수신자가 파일을 신뢰할 수 있도록 암호를 걸어두고 이메일 본문에 비밀번호를 적어 사용자가 열어보기 전에는 악성코드 탐지 프로그램이 미리 검사하지 못하도록 했다.

문서 파일을 열면 매크로가 동작해 특정 서버로부터 ‘시그마’ 랜섬웨어를 다운로드하여 실행한다. 랜섬웨어는 PC 내의 주요 파일들을 암호화하고 ‘ReadMe.html’이라는 랜섬웨어 감염 노트를 생성해 피해자가 비용을 지불하도록 안내한다. 암호화 과정 중에 파일의 확장자는 변경하지 않기 때문에 파일이 암호화되었음을 인지하기 어렵다. 랜섬웨어는 복구비용으로 약 400달러 상당의 비트코인을 요구한다.

한국 사용자를 노린 ‘비너스락커(VenusLocker)’를 유포했던 조직이 이번에는 ‘갠드크랩(GandCrab) v2.0’ 랜섬웨어로 돌아왔다.

보안전문업체 이스트시큐리티(대표 정상원)가 포착한 정황에 따르면 이들 조직은 유명 디자이너의 명의를 사칭해 이미지 저작권 위반을 경고하는 메일을 보내면서 문제가 되는 이미지의 목록인 것처럼 꾸민 첨부파일에 갠드크랩 랜섬웨어를 심어 유포 중이다.

첨부된 압축 파일을 열어보면 ‘원본이미지.jpg’, ‘사용이미지.jpg’, ‘사이트 링크정리.doc’라는 이름의 파일이 보여 사용자가 별다른 의심 없이 파일을 실행시키도록 현혹하지만, 실제 이 파일은 이미지나 MS 워드 문서가 아닌 이중 확장자로 숨겨진 바로가기(.lnk) 파일이다.

사용자가 의심 없이 이 파일을 실행하면 함께 첨부된 랜섬웨어 파일인 ‘this.exe’가 자동으로 실행되고, PC 내 주요 파일들을 암호화한 뒤 토르(Tor) 브라우저를 통해 파일 암호화 해제의 대가로 가상화폐 대시(DASH) 지불을 요구하는 안내창을 띄운다.

한글 운영 체제에서만 파일 암호화를 수행하는 메그니베르 랜섬웨어도 변화를 시도하는 모습이 포착됐다.

보안전문기업 체크멀은 2018년 3월 24일 오전 5시 경부터 메그니베르가 기존과 다르게 .EXE 실행 파일을 다운로드하지 않고 DLL 모듈을 다운로드해 rundll32.exe 시스템 파일로 파일 암호화 행위를 수행하기 시작하는 것을 포착했다고 밝혔다.

Magniber 랜섬웨어(Ransomware)는 주로 드라마 다시보기와 같은 웹 사이트를 통해 전파된다. 보안 패치가 제대로 이루어지지 않은 시스템에서 인터넷 익스플로러(Internet Explorer)를 통해 접속해 동영상 재생 버튼을 클릭하면 자동으로 감염된다.

파일 암호화 완료 후에는 일정 주기마다 자동으로 메시지를 띄워 파일이 암호화 됐음을 알리고, 1시간 단위로 웹 브라우저를 실행해 비트코인을 결제하라고 압박한다.

더욱 지능적으로 진화한 랜섬웨어가 잇따라 등장해 맹위를 떨치면서 PC방은 카운터 PC 보안에 각별히 주의해야 하는 상황이 됐다.

따라서 중요한 데이터가 보관되어 있는 카운터 PC가 랜섬웨어에 피해를 입지 않도록 정산 외의 이용을 제한하는 등 카운터 PC 사용을 최소화하고, 인터넷 사용 시에는 안전한 최신 버전의 웹브라우저를 사용해야 하며, 발신자가 의심스러운 이메일에 첨부된 파일은 열지 말고, 보안 취약점을 수정한 최신 업데이트 설치와 주요 데이터의 백업을 습관화하는 등 보안 강화와 예방에 적극 나서야 할 것으로 보인다.