“‘크립트XXX’ 랜섬웨어 변종 발견…국내 유입 주의”

사본 -image008이스트소프트(대표 정상원)는 이달 초 국내 대형 커뮤니티를 중심으로 급속히 유포돼 대규모 사용자 피해를 유발한 ‘크립트(Crypt)XXX’ 랜섬웨어 변종이 해외에서 발견됐다고 23일 밝히고, 사용자들의 각별한 주의와 보안 강화를 당부했다.

해외에서 새롭게 등장한 이번 ‘크립트XXX’ 변종은 뉴트리노 익스플로잇 킷(Neutrino Exploit Kit)을 통해 전파된 것으로 확인됐다. 플레이어 취약점 등을 통해 사용자들을 감염시킨다.

해당 랜섬웨어는 감염 이후 PC에 존재하는 각종 문서, 사진, 음원, 압축 파일 등을 암호화하는 일반 랜섬웨어의 악성 행위를 수행한다. 기존 변종들과는 다르게 알려진 ‘.crypt’, ‘.cryp1’, ‘.cryptz’ 확장명에서 임의의 무작위 확장명을 추가해 암호화하는 것으로 분석됐다.

이스트소프트 관계자는 “6월 21일 기준 변종이 해외에서 보고된 이후 아직까지는 국내 피해사례가 보고되지는 않았다”며, “다만 웹 사이트를 통한 유포 기법으로 인해 언제든지 국내 피해로 이어질 가능성이 존재하므로 각별한 주의와 대비가 필요한 시점이다”고 말했다.

이 랜섬웨어는 아직 국내 피해사례가 보고되지는 않았다. 다만 암호화 대상 파일로 음원, 사진 외에도 한국에서 주로 많이 이용하는 문서 파일(HWP, DOC, PDF, XLS, PPT 등)도 모두 포함돼 국내 사용자가 감염될 경우 PC에 저장된 대부분의 자료를 유실하는 피해를 입을 것으로 예상된다.

사본 -[1] CryptXXX 변종 랜섬웨어로 인해 변경된 확장명
크립트XXX 변종 랜섬웨어로 인해 변경된 확장명 <출처 : 이스트소프트>
또한 이달 초 유포된 랜섬웨어와 동일하게 한국어를 포함한 25개국의 다국적 언어로 안내문을 띄우며, 파일 암호 해제의 대가로 1.2 BTC(비트코인)을 요구하고 있다.

22일 기준 1BTC 시세는 약 80만원에 거래되고 있어 사용자가 랜섬웨어에 감염되면 약 100만 원 상당의 금액을 지불해야만 볼모로 잡힌 파일들의 암호 해제를 시도할 수 있다. 감염 시점에서 약 100시간이 경과돼도 비트코인을 지불하지 않으면 암호 해제의 대가로 2배가 오른 2.4BTC를 요구하며 불안과 공포감을 조장해 지불을 유도하고 있다.

이스트소프트는 자사의 백신 프로그램 ‘알약(ALYac)’ 제품에서 테스트해 본 결과, 이번에 등장한 변종 ‘크립트XXX’ 랜섬웨어를 기존 행위기반 탐지 기능으로 사전 차단할 수 있다고 밝혔다.

현재 알약에서는 이번 랜섬웨어 악성코드를 ‘Trojan.Ransom.CryptXXX”으로 탐지하고 있다.

현재 해외에서 새로운 변종까지 등장해 국내에도 변종 공격이 유입되는 것은 시간문제인 상황으로, 누구나 랜섬웨어의 직접적인 피해자가 될 수 있다는 점을 명심하고 어느 때보다 사용자 개개인의 각별한 주의와 대비가 요구된다고 회사측은 강조했다.

사본 -image013
알약 랜섬웨어 행위기반 차단 6월 통계 자료 <출처 : 이스트소프트>

지난 6월 3일부터 7일까지 국내 대형 온라인 커뮤니티를 통한 랜섬웨어 유포 사건 당시 알약의 행위기반 차단 건수가 사상 최고치인 약 4만5000건에 육박했고, 이후에도 하루 평균 약 1만건 이상 차단 통계가 집계되는 등 랜섬웨어 감염 위협이 지속되고 있어 안심할 수 없는 상황이라는 설명이다.

이스트소프트 보안사업본부 김준섭 본부장은 “크립트XXX 랜섬웨어 변종이 꾸준히 제작 유포되고 있어 개인과 기업 모두 각별한 주의가 필요하다”며, “운영체제(OS)를 포함해 플래시 플레이어, 자바 등은 항상 최신 버전으로 유지하고, 랜섬웨어 차단 기능이 탑재된 보안 제품 활용과 중요 자료 백업을 생활화하는 등 보안 수칙 준수에 만전을 기하는 것이 매우 중요한 시기”라고 강조했다.

[dropshadowbox align=”none” effect=”lifted-both” width=”auto” height=”” background_color=”#ffffff” border_width=”1″ border_color=”#dddddd” ]<랜섬웨어 피해 예방 보안 수칙 3선>

1. 기본 보안 수칙을 잘 지켜야 한다. 윈도 운영체제 업데이트, IE브라우저, 어도비 플래시 플레이어, 오피스 등 자주 사용하는 소프트웨어를 항상 최신 버전으로 유지해야 한다.

2. 신뢰할 수 있는 백신을 사용하고, DB업데이트 상태를 최신으로 유지한다. 현재 알약 최신 버전에는 랜섬웨어 행위기반 차단 기능이 포함돼 있다. 알려진 랜섬웨어는 패턴 기반으로 차단하고, 새로운 신·변종 랜섬웨어는 행위 기반으로 차단할 수 있다.

3. 중요 파일에 대한 백업을 습관화한다. 중요한 파일은 로컬PC가 아닌 외장하드, USB 등 다른 저장매체에 백업을 습관화해야 한다. 클라우드 서비스에 저장해도 최근에는 실시간 동기화 서비스가 제공돼 로컬에 있는 문서들이 즉각 동기화되기 때문에 자칫하다 클라우드에 있는 정보들까지 모두 암호화될 수도 있다. 특히 상대적으로 기업 환경에서는 중요 문서를 많이 다루고 관리해야 할 임직원들이 많아 랜섬웨어 악성코드에 감염될 경우 피해가 매우 커진다. 이러한 기업환경에서 임직원들의 중요 자료를 실시간으로 자동 백업 시켜줄 수 있는 문서 백업솔루션 및 문서중앙화 솔루션을 도입하는 것도 랜섬웨어 공격의 피해를 막을 수 있는 하나의 방법이 될 수 있다.[/dropshadowbox]

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다