HWP 한글 파일 타깃…'한국형 랜섬웨어' 급증

3월 국내 웹사이트로 유포된 랜섬웨어 사상 최대

연말정산·인사철 등 특정 시기에 악성코드 업무문서로 위장 '유포'
국내 기업·공공기관 피해 속출…정기적 백업·바이러스 검사해야

Getty Images Bank

웹사이트 취약점을 이용한 랜섬웨어 유포가 급증하면서 정보보호에 비상이 걸렸다. 국내 웹사이트를 통해 지난달 유포된 랜섬웨어가 730건으로 월간 기준으로 가장 많았다. 한글 파일을 암호화하거나 국문 이메일로 된 ‘한국형 랜섬웨어’도 기승을 부리고 있다.

랜섬웨어는 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 사진 파일 등을 암호화해 열지 못하도록 한 뒤 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성코드다. 사이버 공격자들의 주요 돈벌이 수단이 되면서 피해가 급증하고 있다. 보통 보안이 취약한 웹사이트, 파일 공유 프로그램 등을 통해 유포된다.

랜섬웨어 웹사이트 유포 급증

보안업체 하우리는 랜섬웨어 유포가 본격화한 2015년 초부터 지난 2년여간 웹사이트를 통해 유포된 랜섬웨어 개수를 조사한 결과 지난 3월 랜섬웨어 유포 건수가 역대 최대치를 기록했다고 발표했다.

하우리에 따르면 랜섬웨어를 유포하는 국내 웹사이트는 주로 워드프레스(WordPress)로 제작됐거나 오픈엑스(OpenX) 광고 플랫폼을 이용하는 광고 서비스를 사용하고 있다. 최상명 하우리 침해대응실장은 “오픈소스 기반인 워드프레스와 오픈엑스는 취약점이 자주 발견된다”며 “이를 통해 해커들이 조직적으로 랜섬웨어를 유포하는 데 악용하고 있다”고 설명했다.

랜섬웨어 피해도 크게 늘었다. 한국인터넷진흥원(KISA)에 따르면 지난해 접수한 랜섬웨어 피해 신고는 1438건으로 전년(770건)보다 86.8% 증가했다. 최 실장은 “사용자들은 반드시 웹 브라우저의 보안 업데이트를 수시로 해서 최신 버전을 유지해야 한다”며 “웹사이트를 운영하는 관리자들도 웹사이트의 취약점을 제거하기 위해 관리해야 한다”고 강조했다.

업무 문서로 위장…‘한국형 랜섬웨어’ 기승

주로 영문 이메일이나 웹사이트로 유포되던 랜섬웨어가 지난해 말부터 한글 문서 파일이나 국문 이메일로 배포되고 있어 각별한 주의가 필요하다고 전문가들은 강조했다. 공격에 사용된 비너스락커 변종 랜섬웨어는 국내에서 주로 사용되는 .hwp 확장자로 된 한글 문서 파일도 암호화해 인질로 잡는 등 국내 이용자를 겨냥한 ‘한국형 랜섬웨어’ 위협이 커지고 있다.

일정, 예약 문의 등 업무 관련 내용을 담은 파일로 둔갑한 악성코드를 첨부하거나 연말정산 인사발령 등 특정 시기에 맞춰 랜섬웨어를 유포하는 등 수법도 고도화하고 있다. 지난해에는 교육 일정표로 위장한 비너스락커 변종 랜섬웨어 파일이 첨부된 이메일이 국내 공공기업과 민간기업에 급속하게 전파돼 피해가 속출했다. 비너스락커 랜섬웨어는 피해자 PC의 파일을 .venusp 혹은 .venusf 확장자로 암호화한다.

국내 보안업체 이스트시큐리티 관계자는 “비너스락커 등 한국 맞춤형 랜섬웨어가 사이버 공격자들의 주요 돈벌이 수단이 되면서 다양한 방식의 랜섬웨어 공격이 계속될 것으로 보인다”며 “백신을 사용하고, 중요한 자료는 반드시 복사본을 만드는 등 기본 보안 수칙을 지켜야 한다”고 말했다.

추가영 기자 gychu@hankyung.com