‘크립트(Crypt) XXX’ 랜섬웨어 한글 서비스 제공 화면.
‘크립트(Crypt) XXX’ 랜섬웨어 한글 서비스 제공 화면.
대형 온라인 커뮤니티 ‘뽐뿌’를 통해 랜섬웨어가 대량 유포된 것이 확인되면서 각별한 주의가 요구된다. 랜섬웨어는 PC에 저장된 이미지파일, 문서파일 등을 암호화한 뒤 이것을 미끼로 금전을 요구하는 악성 코드다.

보안업계에 따르면 지난 3일부터 랜섬웨어 ‘크립트(Crypt) XXX’의 한글 버전이 뽐뿌의 배너 광고 등을 통해 퍼졌다. 국내 보안업체 이스트소프트에 따르면 이번 랜섬웨어 공격자는 암호 해제를 조건으로 1.2 BTC 비트코인(약 82만원) 결제를 요구하는 안내창을 띄워 현금 갈취를 시도한 것으로 확인됐다. 한글(.hwp) 문서도 암호화 대상에 포함돼 감염된 PC 사용자의 큰 피해가 예상된다.

◆불특정 다수 대상으로 유포

뽐뿌는 지난 7일 공지를 통해 “외부 광고서버의 플래시 배너를 통해 랜섬웨어가 유포되고 있다고 알려져 확인 중”이라며 “플래시 파일의 접근을 자제하고 인터넷 익스플로러(IE) 대신 크롬 등 다른 브라우저를 통해 인터넷에 접속해달라”고 밝혔다. 공격자는 어도비 플래시와 인터넷 익스플로러의 취약점을 이용해 ‘크립트XXX’를 유포한 것으로 파악됐다. ‘크립트XXX’는 정상 파일을 암호화한 뒤 ‘.crypt’ 확장자로 변경해 사용자에게 비트코인(가상화폐)을 요구하는 방식을 취하고 있다.

랜섬웨어 제작자들은 유포지를 쉽게 파악할 수 없도록 하기 위해 보안이 취약한 광고 플랫폼을 경유해 불특정 다수의 이용자를 대상으로 동시다발적 공격을 수행하는 ‘멀티바이징’ 공격 기법을 이용했다. 보안이 취약한 광고 플랫폼이 있는 웹사이트에 IE를 이용해 접속만 해도 랜섬웨어에 감염될 가능성이 높아 피해가 컸다는 분석이다.

대형 온라인 커뮤니티 등을 통한 랜섬웨어 유포는 불특정 다수를 대상으로 무차별적으로 이뤄지기 때문에 개인·기업 모두 피해 대상이 될 수 있다. 사내에서 개인 PC에 랜섬웨어가 감염되더라도 공유 폴더를 통해 회사 전체로 퍼질 위험도 크다. 지난해 4월 대형 온라인 커뮤니티 클리앙에서도 랜섬웨어 ‘크립토락커(Cryptolocker)’가 유포돼 피해자가 속출했다.

◆예방이 최선

이스트소프트가 자사의 백신 프로그램 ‘알약(ALYac) 공개용’ 제품을 통해 제공하는 랜섬웨어 차단 현황에 따르면 통계를 집계하기 시작한 지난 1월부터 알약을 통해 차단된 랜섬웨어 공격 건수는 220만건을 넘어선 것으로 집계됐다. 뽐뿌를 통해 랜섬웨어가 유포되기 시작한 지난 3일에는 전일 대비 랜섬웨어 차단 건수가 약 2배로 급격히 증가한 것으로 나타났다. 지난 7일 하루 동안 4만5000여건의 랜섬웨어 공격이 차단됐다.

김준섭 이스트소프트 보안사업본부장은 “운영체제(OS)는 물론 플래시 플레이어, 자바 등은 항상 최신 버전으로 유지해 취약점을 이용한 공격을 예방해야 한다”며 “랜섬웨어 차단 기능이 탑재된 보안 제품을 활용하고 중요 자료 백업(원본 파일의 복사본 저장)을 생활화하는 등 보안 수칙 준수에 만전을 기해야 한다”고 강조했다.

추가영 기자 gychu@hankyung.com