'더 교묘하진' 랜섬웨어 3분기에 공격 기승

[[그래픽=임이슬기자 90606a@]]

아주경제 이정하 기자 = #회사원 이모씨(34세)는 발신자를 알 수 없는 영문 이메일을 수시로 지운다. 랜섬웨어일 가능성이 높다는 점에서다. 회사로부터 수차례 랜섬웨어 예방지침과 함께 이메일 다운 자제를 요청받은 상태다. 

#보안회사에 근무 중인 권모(36)씨는 최근 해외서 들어온 악성코드를 분석 중 한국어로 만들어진 버전을 발견했다. 아직 국내 감염 사례는 발견되지 않았지만, 한국을 겨냥한 랜섬웨어라는 사실은 틀림이 없다.

사용자의 파일을 인질로 삼고 돈을 요구하는 랜섬웨어가 올 하반기 들어 폭발적으로 증가한 것으로 나타났다. 19일 보안업체 지란지교시큐리티의 2016년 스팸메일 동향 분석 보고서에 따르면 3분기(6~9월) 바이러스 메일건수는 590만건으로 2분기(3~6월)보다 92.25% 늘었다.

바이러스 메일을 유형별로 분석해 보면 스캔파일 및 송장 등과 같은 첨부파일을 통한 랜섬웨어 유입이 많았다. 이는 불특정 다수에게 발송되고 있는데다 발신자, 제목 등이 수시 변형돼 유입되기 때문에 관련 메일을 자주 주고받는 사용자들에게는 특별한 주의가 요구된다.

보안업체 한 관계자는 "이메일의 경우 주소만 알면 손쉽게 전송이 가능하다는 점에서 가장 흔하게 사용되는 방법이지만, 사용자들에게 발신자를 알 수 없거나, 특히 영문 버전의 경우 바이러스 메일일 가능성이 높다는 점이 널리 알려진 상태라, 이를 통한 감염은 드문 상황"이라고 말했다.

최근에는 투자나 이벤트 당첨을 미끼로 한 스팸메일 유입이 증가해, 주의가 필요하다. 이 경우 투자나 이벤트 당첨을 안내하며 메일 수신자의 이름, 주소, 전화번호 등 개인정보 탈취 목적으로 발송되는 스팸메일이다.

기존에는 투자 및 이벤트 당첨을 미끼로 한 스팸메일은 주로 영문으로 작성돼 유입됐으나, 이번 3분기에는 한국어로 작성된 메일 유입이 발견되고 있는 상황이다.

이 같이 한국어로 작성돼 발송될 경우 현혹될 가능성이 높다는 점에서 투자 및 이벤트 관련 스팸메일은 내용을 한 번 더 확인하고 현실성이 없거나 관련 없는 내용일 경우 바로 삭제해야 한다. 

사용자의 아이디(ID)·패스워드(PW)를 탈취한 후 2차 공격을 위해 제3자에게 유출하는 유형이 감지되고 있다. 이는 기존 사용자 계정을 탈취해 스팸메일의 수신 대상자로 활용했던 1차 방식에서 확대된 것으로 탈취한 계정정보를 이용, 여러 목적의 2차 공격에 활용될 위험성이 커진 만큼 이에 대한 보안 강화가 필요하다.

또한 상용 랜섬웨어 제작툴을 통해 제작된 일명 '필라델피아' 램섬웨어가 국내 유포되고 있다는 점에서 주의가 필요하다. 하우리에 따르면 이 랜섬웨어는 '레인메이커(Rainmaker)'라 불리는 개발자에 의해 제작된 이 제작툴은 지난 9월부터 블랙마켓을 통해 약 45만원이라는 저렴한 가격에 판매되고 있다.