본문 바로가기 검색 바로가기 메뉴 바로가기
배너
배너

[실시간뉴스]

최종업데이트YYYY-mm-dd hh:mm:ss
검색

트럼프 랜섬웨어도 등장…한국 맞춤형 공격 '점입가경'

어눌한 한국어로 위장한 '비너스락커' 변종 기승

(서울=연합뉴스) 고현실 기자 = 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구하는 랜섬웨어 공격이 날로 거세지고 있다. 한국을 노린 공격이 급증하는 가운데 미국 대통령 트럼프의 이름을 딴 랜섬웨어까지 등장해 이용자의 주의가 요구된다.

23일 하우리 등 보안업계에 따르면 최근 국내에서 미국 대통령 도널드 트럼프의 이름을 딴 '트럼프락커(TrumpLocker)' 랜섬웨어가 발견됐다.

'트럼프락커'는 이메일을 통해 압축 파일 형태로 유포된다. 압축 파일을 해제해 PDF 문서로 위장한 실행 파일을 열면 감염되는 방식이다.

이 랜섬웨어에 감염되면 주요 파일의 확장자명이 '.TheTrumpLockerf' '.TheTrumpLockerp'로 바뀌면서 암호화된다. 암호화가 완료되면 바탕화면에 '당신은 해킹됐다(YOU ARE HACKED)'는 메시지와 함께 트럼프의 사진을 띄운다.

공격자는 72시간 이내에 암호화된 파일을 푸는 조건으로 150달러(약 17만원)를 자신의 비트코인(가상화폐) 지갑으로 보내 달라고 요구한다.

이 랜섬웨어는 국내에서 기승을 부리는 '비너스락커(VenusLocker)'와 동일한 소스 코드(프로그램 설계 지도)를 기반으로 제작됐다.

트럼프 랜섬웨어 등장
트럼프 랜섬웨어 등장보안업체 하우리는 23일 "최근 미국 대통령 도널드 트럼프의 이름을 딴 '트럼프락커(TrumpLocker)' 랜섬웨어가 발견됐다"고 밝혔다. 2017.2.23 [하우리 제공]

'비너스락커'는 최근 국내 기관과 기업을 겨냥한 변종을 잇달아 내놓고 있다.

보안업체 이스트시큐리티에 따르면 최근 '비너스락커' 공격자들은 한국의 특정 연구소나 주요 기관 종사자에게 연말정산 안내, 내부 지침 사항 공지 등을 위장한 메일을 보내는 방식으로 국내 기업과 기관에 맞춤형 공격을 가하고 있다.

한국어로 복구 절차와 비트코인 구매 방법 등을 '친철하게' 안내하는 점도 특징이다.

이스트시큐리티 측은 "한국어가 번역기를 활용한 것처럼 다소 어눌해 보이지만, 이는 공격자가 자신을 위장하려는 수법으로 보인다"고 분석했다. 파일 압축 프로그램이 국내에서 널리 사용되는 프로그램이고, 파일명이 정교한 한글인 점을 고려하면 공격자가 한국의 문화와 언어를 잘 이해하고 있다는 설명이다.

또한, 공격자들은 수사 기관의 추적을 피해 다양한 국가에 있는 명령 제어(C&C) 서버를 이용하는 것으로 파악됐다. 초기에는 러시아에 있는 서버가 많았지만, 최근에는 네덜란드·루마니아 등으로 다양해지고 있다.

업계 관계자는 "이메일을 통해 랜섬웨어에 감염되는 사람들이 의외로 많다"며 "출처가 불분명한 이메일 열람을 자제하고, 첨부 파일 확장자를 재확인할 필요가 있다"고 조언했다.

랜섬웨어 공격자가 피해자에게 보낸 이메일 화면 중 일부
랜섬웨어 공격자가 피해자에게 보낸 이메일 화면 중 일부2017.2.23 [이스트시큐리티 제공]

okko@yna.co.kr

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지> 2017/02/23 11:22 송고

광고
댓글쓰기
배너
광고
AD(광고)
광고
많이 본 뉴스
많이 본 뉴스
종합
정치
산업/경제
사회
전국
스포츠
연예ㆍ문화
세계
더보기
AD(광고)
광고