올해 초 기승을 부리다 무료 복구툴이 등장해 무력화된 매그니베르(Magniber) 랜섬웨어가 이달 초부터 더욱 진화한 모습으로 다시 활동을 시작해 주의가 요구된다.

국내 사용자를 겨냥해 한글 윈도우 운영체제만을 감염시키는 매그니베르 랜섬웨어는 올해 초부터 맹위를 떨치다가 지난 4월 보안 전문 업체 안랩(AhnLab)이 내놓은 무료 복구툴에 막혀 모든 활동을 중단했는데, 지난 6월 2일부터 기존 복구툴을 무력화시킨 새로운 버전이 유포되고 있는 정황이 포착돼 다시금 문제가 되고 있다.

진화한 매그니베르 랜섬웨어는 지난 5월 MS 정기보안 업데이트를 통해 패치된 CVE-2018-8174 (VBScript 엔진 원격 코드 실행 취약점) 취약점을 악용하는데, 패치를 미적용한 시스템에서 악성 스크립트가 노출되는 웹 사이트에 접속할 경우 자동으로 매그니베르 랜섬웨어 감염을 유발하는 DLL 모듈을 다운로드한다.

그런 다음 윈도우 시스템 폴더에 존재하는 다양한 시스템 파일(ctfmon.exe, dwm.exe, explorer.exe, hh.exe, msiexec.exe, notepad.exe, taskhost.exe, verclsid.exe 등)을 추가 로딩하고 메모리에 랜섬웨어 모듈을 인젝션해 백신 탐지를 우회한다.

일단 여기에 감염되면 각 드라이브 영역에 존재하는 문서, 사진, 압축 등의 데이터 파일이 암호화되는데, 감염 PC마다 랜덤 확장파일명으로 암호화하는 특징을 지녔다. 모든 암호화 작업이 끝난 뒤에는 비트코인과 대시 가상화폐를 통해 2,300달러가량을 결제하라고 종용한다.

이번 매그니베르 랜섬웨어는 사이트 접속만으로 감염이 이뤄지고 복원이 어렵기 때문에 예방이 매우 중요하다. 따라서 PC방은 최신 보안 업데이트 적용과 더불어 의심스러운 웹사이트 및 이메일 접근 자제, 정기적인 자료 백업 등 보안 강화를 생활화해야만 피해를 예방할 수 있을 것으로 보인다.