국내 정보기술(IT) 중견기업의 시스템 서버 관리직원 A씨는 최근 여름휴가를 다녀와 오랜만에 PC를 켰다. 밀린 업무를 위해 마이크로소프트(MS) 엑셀 파일과 워드 파일을 열었다. 그러나 작업 속도가 크게 느려지며 버벅거리는 현상이 벌어졌다. PC를 껐다 켜자 이번엔 바탕화면이 블라디미르 푸틴 러시아 대통령을 묘사한 그림으로 바뀌었다. 엑셀(xlsx), 워드(doc), 파워포인트(ppt) 등의 확장자를 가진 모든 파일이 암호화돼 열 수가 없었다. 국내 기업을 대상으로 한 랜섬웨어 ‘하쿠나 마타타’ 공격이다.
비트코인 지갑 가로챈다…신종 랜섬웨어 '비상'
14일 보안업계에 따르면 최근 이런 신종 랜섬웨어 하쿠나 마타타 공격이 국내 기업을 대상으로 광범위하게 이뤄지고 있다. 하쿠나 마타타 랜섬웨어는 지난달 처음 등장했다. 랜섬웨어는 인질의 몸값을 뜻하는 ‘랜섬’과 소프트웨어(SW)를 합친 표현이다.

악성코드를 심어 파일들을 암호화해 열 수 없게 만든 뒤 시스템 복구를 대가로 금전을 요구하는 공격 방식을 의미한다. 하쿠나 마타타는 영화 ‘라이온 킹’의 대사다. ‘모두 잘될 것이다’라는 뜻이다.

하쿠나 마타타 랜섬웨어에 감염된 PC에서는 MS 오피스 프로그램 등이 모두 강제로 종료된 뒤 암호화가 이뤄진다. 암호를 풀고 시스템을 사용하기 위해선 72시간 내에 해커에게 연락하라는 내용의 메모만 열 수 있다. 메모엔 암호화된 파일을 영영 못 쓰는 것은 물론이고, 해킹 과정에서 빼낸 정보를 다크웹(일반적으로는 접속할 수 없는 암호화된 인터넷망) 등 온라인에 공개하겠다는 협박도 담겨 있다.

하쿠나 마타타 랜섬웨어의 또 다른 특징은 ‘비트코인 지갑 주소 가로채기’ 공격이다. 지갑 주소는 은행 계좌번호와 비슷하다. 금융회사의 도움 없이 각 개인이 만들 수 있다. 지갑 주소는 영문 대·소문자와 숫자 30자리를 무작위로 섞는 방식으로 만들어 비트코인 지갑 주소를 외우는 것이 현실적으로 불가능하다. 대부분 사용자는 PC 내 메모장 파일 등에 이를 적어두고 비트코인 거래를 할 때마다 해당 지갑 주소를 복사, 붙여넣기 해 사용한다.

하쿠나 마타타 랜섬웨어는 비트코인 지갑 주소를 복사하는 순간을 감지해 가로챈다. 예를 들어 복사하려는 비트코인 지갑 주소(A)가 있다면, 이걸 복사 붙여넣기 하는 순간 해커가 숨겨둔 별도의 비트코인 지갑 주소(B)가 입력되는 방식이다.

하쿠나 마타타 랜섬웨어를 적발한 안랩 ASEC(시큐리티대응센터) 관계자는 “감염된 시스템에서 비트코인을 거래할 경우 본인이 원하는 주소가 아니라 해커의 지갑 주소로 거래가 이뤄질 위험성이 있다”고 지적했다. 다만 아직 비트코인 거래 피해 사례는 나오지 않았다.

보안업계 전문가들은 하쿠나 마타타를 포함한 랜섬웨어 감염을 막기 위해서는 신원이 확인되지 않은 사람이 보낸 업무 문의, 견적서, 자문 요청 등의 이메일 첨부파일을 절대로 열지 말라고 권고한다.

안랩 ASEC 관계자는 “보안 프로그램을 주기적으로 업데이트하는 한편 해킹 피해가 확인될 경우 해커 요구에 절대로 응하지 말고 즉시 한국인터넷진흥원(KISA) 등에 신고해야 한다”고 조언했다.

김진원 기자 jin1@hankyung.com