[디지털데일리 이민형기자] 사용자 PC에 저장된 데이터를 암호화시키고 이를 볼모로 금전을 요구하는 랜섬웨어 공격이 국내에 확산되고 있어 주의가 필요하다.

21일 보안업계에 따르면 국내 유명 IT커뮤니티가 이날 새벽부터 외부공격에 의해 악성코드 유포지로 악용됐다. 공격자는 광고를 위해 제작된 프레임에 악성코드 유포 스크립트를 심은 것으로 추정된다. 유포된 악성코드는 크립토 랜섬웨어로 감염될 경우 사용자 PC에 저장된 파일, 사진 등의 데이터를 암호화(RSA2048 알고리즘)시킨 뒤, 이를 볼모로 금전을 요구한다.

이번 악성코드에 영향을 받을 수 있는 환경은 아직 정확하게 밝혀지지 않았으나, 랜섬웨어 피해자들은 공통적으로 마이크로소프트 윈도와 인터넷익스플로러를 사용하는 것으로 나타났다.

최상명 하우리 팀장은 “보다 자세한 분석을 해봐야 알겠지만, 어도비 플래시 하위버전의 취약점을 악용한 것으로 추정된다. IE11 버전과 하위버전 플래시 환경에서 크립토 랜섬웨어에 감염되는 것이 확인됐다”고 설명했다.

특히 랜섬웨어는 드롭박스, 원드라이드 등 클라우드 서비스와 매핑(연동)된 파일 역시 감염시키므로 감염이 의심되면 그 즉시 네트워크 연결을 끊거나 클라우드 서비스 동기화를 중단해야 피해를 최소화시킬 수 있다.

현재 이스트소프트, 하우리, 안랩 등 국내 백신업체들은 랜섬웨어 악성코드 대응을 위해 백신 패턴 업데이트를 마쳤다.

이와 관련 전문가들은 “크립토 랜섬웨어는 복호화를 위해 돈을 지불해도 키를 주지 않는 경우가 대부분이다. 공격자들에게 금전을 지불하는 우를 범해선 안된다”고 강조했다.

한편 랜섬웨어 악성코드에 감염된 파일은 파이어아이와 폭스IT에서 제공하는 복호화 서비스(https://decryptcryptolocker.com)로 일부 복원이 가능하다.

<이민형 기자>kiku@ddaily.co.kr