보안 취약점을 통해 웹서핑만 해도 은밀하게 자동 감염되는 ‘헤르메스(HERMES)’ 랜섬웨어가 국내에 유포돼 PC방에서도 주의가 요구되고 있다.

2017년 초 처음 등장한 ‘헤르메스’ 랜섬웨어는 지난 4월 UI를 바꾼 2.0 버전이 등장하는 등 꾸준히 진화하는 모습을 보였다. 이번에 새로 발견된 버전은 헤르메스 2.1 버전으로, 기존에 국내에 유포되던 ‘매트릭스’ 랜섬웨어의 후속으로 공격자에 의해 선택된 것으로 추정되고 있다.

‘선다운(Sundown)’ 익스플로잇 킷(Exploit Kit)을 통해 유포되고 있는 ‘헤르메스’ 랜섬웨어는 파일을 암호화한 후 ‘볼륨 쉐도우 복사본(Volume Shadow Copy)’을 삭제해 윈도우 복원 지점을 삭제하며, 각 드라이브에서 백업 관련 확장자를 가지는 백업 파일들을 삭제해 대가를 치르지 않으면 복구가 불가능하도록 원천봉쇄하는 치밀함을 보인다.

이후 폴더마다 ‘DECRYPT_INFORMATION.html’ 라는 이름의 랜섬웨어 감염 노트를 생성해 대가를 요구하는데, 이때 암호화된 파일에 대한 복구가 가능하다는 점을 보여주기 위해 3개의 암호화된 파일에 대해서는 테스트 목적으로 복구를 해준다고 안내한다.

감염 안내 메시지를 영어(English), 독일어(German), 프랑스어(French), 이탈리아어(Italian), 스페인어(Spanish) 등 5개 국어로 보여주는 ‘헤르메스’ 랜섬웨어는 5,700여 개의 확장자를 가진 파일들을 암호화한다. ‘.hwp’ 한글 문서나 ‘VMware’나 ‘VirtualBox’ 같은 가상 컴퓨팅 환경에 사용하는 파일 등에도 예외는 없는 것으로 알려졌다. 또, 일부 가상화폐 지갑도 대상으로 하는 것으로 파악돼 최근 가상화폐 이슈도 반영한 것으로 추정되고 있다.

‘헤르메스’는 이미 국내에서도 다수의 감염 피해자가 발견돼 PC방에서도 최신 보안 패치를 미리 적용하는 등의 대비와 각별한 주의가 필요한 상황이다.

하우리 CERT실은 “이번에 발견된 ‘헤르메스’ 랜섬웨어는 기존에 대상으로 삼지 않던 파일들도 대부분 목표로 하고 있다”며 “당분간 국내에 지속적으로 유포될 것으로 예상되므로 각별한 주의가 필요하다’고 밝혔다.