[디지털데일리 이민형기자] 지난 22일 국내 IT커뮤니티로부터 시작된 크립토락커(CryptoLocker)랜섬웨어(Ransomware)의 충격이 채 가기전에 다수의 변종 랜섬웨어가 또 다시 등장했다. 이번에 포착된 랜섬웨어 악성코드는 사용자 PC내에 있는 중요 파일들을 암호화하는 기능외에 다른 공격 기능도 갖춘 것으로 분석되고 있다.

29일 보안업계에 따르면 지난 22일 발견된 랜섬웨어의 변종이 모 웹사이트를 통해 등장했다. 해당 랜섬웨어는 지난번과 동일하게 사용자 PC에 저장된 파일들을 암호화하고 비트코인을 요구하고 있다. 암호화 방식은 비대칭 RSA 암호화 알고리즘을 사용해 사용자가 직접 이를 복구하기란 불가능하다.

이날 발견된 랜섬웨어 악성코드는 수종으로 한국어 랜섬웨어 악성코드와 더불어 러시아어, 영어로 제작된 랜섬웨어도 함께 발견됐으며, 메일을 통해 유포되는 CTB락커(CTB-Locker) 랜섬웨어 수백종도 포착됐다.

보안업계에서는 변종 랜섬웨어 악성코드의 등장으로 인해 성동격서(聲東擊西)의 가능성과 더불어 새로운 공격집단이 등장한 것으로 추정하고 있다.

이는 웹사이트를 위변조해 드라이브 바이 다운로드(Drive-by-Download) 방식을 사용하는 것은 파밍용 악성코드 유포방식과 유사하기 때문이다. 다만 유포지와 경유지가 주로 유럽에 위치한 서버를 악용한다는 것과 악성코드 제작 형태와 대체로 긴 유포 주기가 차이점이다.

보안업계 관계자는 “수면위로 드러나는 랜섬웨어 악성코드와는 별도로 파밍용 악성코드는 지금 이시간에도 활발히 뿌려지고 있다. 이를 고려할 때 공격자들은 성동격서의 수법을 사용하고 있다고 의심할 수 있다”며 “다만 여러 정황으로 봤을때 이번 랜섬웨어 유포는 동유럽에 기반을 둔 새로운 공격집단으로 보는 것이 옳은 것 같다”고 설명했다.

이어 “공격방식에 있어 기존과는 새로운 형태를 띠고 있어 대응에 시간이 다소 소요되는 부분이 우려스럽다”며 “공격집단이 본격적인 유포에 나설 경우 사회적인 혼란이 발생할 수 있다”고 덧붙였다.

국내 안랩, 하우리, 이스트소프트 등은 지난 2012년부터 동유럽과 러시아 등지에서 제작돼 유포된 랜섬웨어에 대해 주의를 당부해왔다. 2012년 당시 안랩 시큐리티대응센터는 “국지적인 한계를 벗어나 감염된 시스템의 윈도에서 사용하는 언어를 확인해 그에 맞는 언어로 표기하는 형태도 있다”고 발표하기도 했다.

보안업계에서 우려하는 부분은 랜섬웨어가 현재보다 더 빠르게 확산될 수 있다는 점이다. 지난 22일 등장한 랜섬웨어로 인해 공격집단이 벌어들인 비트코인 수익은 약 5000만원으로 알려졌다. 랜섬웨어 유포에 따른 금전적인 이득을 취할 수 있음을 확인한 공격집단이 더 활발한 활동을 할 가능성이 다분하다.

또 랜섬웨어에 암호화하는 기능외에도 다른 공격기능이 탑재된 정황이 발견돼 긴장감이 돌고 있다. 가령 사용자 PC의 데이터를 암호화함과 동시에 특정 사이트에 디도스(분산서비스거부, DDoS) 공격을 날리는 등의 기능이 추가로 탑재될 가능성이 높아졌기 때문이다.

업계 관계자는 “암호화기능 외에 다른 공격 기법이 삽입돼 있는 것을 확인했다. 다만 아직까지 악성 스크립트가 재현되지 않고 있어 정확한 분석에는 시간이 필요하다”고 전했다.

한편 개인이 랜섬웨어 악성코드에 대응할 수 있는 방안은 운영체제(OS)와 애플리케이션의 업데이트를 최신으로 유지하는 것이다. 또 익스플로잇 차단 도구나 백신을 사용하는 것도 피해를 예방하는데 도움이 될 수 있다.

특히 주기적인 백업과 백업 디스크의 물리적인 분리, 보관하는 데이터의 속성을 읽기 전용으로 변경하는 것도 랜섬웨어의 피해를 줄일 수 있다.

<이민형 기자>kiku@ddaily.co.kr