중요한 파일 ‘인질’로 돈 요구하는 '랜섬웨어' 유포됐다

크립토락커 감염시 보이는 화면. 출처=인터넷침해대응센터

컴퓨터 안의 중요 파일을 열어볼 수 없게 암호화한 뒤 이를 복구하는 대가로 돈을 요구하는 악성코드인 '랜섬웨어'(Ransomware)가 국내 웹사이트에서 확산됐다. 랜섬웨어는 영어로 '몸값'을 뜻하는 '랜섬'과 '소프트웨어'의 합성어다.

한국인터넷진흥원(KISA)은 21일 오전 1시 40분께부터 9시간 가량 랜섬웨어의 일종인 '크립토락커'(Cryptolocker)의 한국어 버전이 온라인 커뮤니티인 클리앙에서 유포되기 시작했다고 22일 밝혔다.

이 악성코드는 감염된 PC의 구동에 필요한 시스템파일을 제외한 마이크로소프트(MS) 오피스 계열 및 한글문서 파일, 압축 파일, 동영상, 사진 등을 암호화한다. 이를 해독해 주는 조건으로 96시간 내에 돈을 지급하도록 요구한다. 하지만 인터넷침해대응센터는 돈을 입금해도 해독키를 보내준다는 보장은 없다고 밝혔다.

유포자는 추적을 피하려고 사이버머니인 비트코인으로 돈을 지급하도록 하는 등 치밀함을 보였다.

이번에 유포된 크립토락커는 사용자가 첨부파일을 실행하지 않아도 감염된다. 악성코드에 감염된 홈페이지에 방문만 해도 운영체제나 소프트웨어의 취약점을 파고들어가는 방식으로 만들어져 피해가 컸다. 사용중인 웹브라우저나 백신 등 소프트웨어를 업데이트해 항상 최신상태로 유지하는 것이 가장 좋은 예방책이다.

한 번 감염되면 암호화된 파일을 복구하기가 쉽지 않은 점이 문제다. 안랩 등 백신업체들은 크립토락커에 대응하는 백신을 이미 배포했으나, 더 이상의 감염을 막을 수 있을 뿐 이미 감염된 파일의 암호는 해제할 수 없다. 크립토락커에 감염되면 안전모드로 부팅한 뒤 '트렌드마이크로 크립토락커 제거 툴'(Trendmicro Cryptolocker Removal Tool)을 설치해 랜섬웨어를 제거해야 한다.

클리앙 운영자는 악성코드 유포 당일 홈페이지에 감염 사실을 알리고 사과했으며 보안 절차를 강화하고 있다고 밝혔다.

한편 크립토락커 유포 소식으로 22일 안랩 종가는 전일 대비 5.21%(2550원) 상승한 5만1500원을 기록했다.

유하늘 기자 skyu@hankyung.com