랜섬웨어 ‘비너스락커’에 감염된 PC 바탕화면. /이미지 제공=경찰청이메일을 통한 악성코드로 상대방 PC를 암호화한 뒤 해제 대가로 돈을 요구하는 ‘랜섬웨어’ 범죄가 확산되고 있어 경찰이 주의를 당부하고 나섰다. 기존에는 영문 이메일 등으로 랜섬웨어가 유포됐던 것과는 달리 최근에는 자연스러운 한글 이메일 형태로 배포된 사례가 처음 확인됐다.
경찰청 사이버안전국은 신종 랜섬웨어 ‘비너스락커(Venuslocker)’가 최근 예약 관련 문의, 입사 지원 등을 사칭한 한국어 이메일로 전파되는 사례를 다수 확인했다고 14일 밝혔다.
비너스락커라는 이름은 피해자 PC 파일을 ‘.venusp’, ‘.venusf’ 확장자로 암호화는 방식을 따 붙여졌다. 이 같은 랜섬웨어는 지난 해 말부터 국내 공공기관과 소규모 업체 등에 유포되고 있으며, 올해 들어 경찰청 사이버안전국에 피해 사례 10건이 접수됐다.
국내에 유포된 랜섬웨어 사례를 보면 최근 한 여행 업체에 이메일을 통해 ‘이창수라고 합니다. 이번 달 말 여행을 가려는데 자세한 일정과 관련사항, 여권사진은 파일로 첨부했으니 참고하시고 답변 부탁드립니다’라는 내용이 보내졌다. 또 한 인쇄업체에는 ‘이창수라고 합니다. 회사 명함 제작을 하려고 하는데 기존 명함에서 디자인을 새로 변경했습니다. 시안을 파일로 첨부했으니, 압축해제 하셔서 확인 후 견적서랑 같이 답변 부탁드릴께요’라는 내용의 이메일로 랜섬웨어가 유포됐다.
이메일 유형은 이 같이 여행업체에 여행 문의, 인쇄 업체에 인쇄물 문의, 일반 회사에 입사지원 문의 등 내용이었고, 자연스러운 한국어로 작성됐다.
이메일 파일명을 입사지원서, 명함 디자인 등으로 위장한 악성코드를 첨부해 사용자가 파일을 열면 PC가 암호화돼 잠긴다. 첨부파일은 확장자를 문서파일(.doc)이나 그림파일(.jpg) 등으로 위장했으나 실제로는 바로가기(.lnk) 확장자로, 이를 실행하면 함께 첨부한 다른 파일로 바로가기가 이뤄져 악성코드가 실행된다.
해커는 컴퓨터 바탕화면을 통해 ‘암호를 풀려면 온라인상 가상화폐 1비트코인(현재 120만원 상당)을 72시간 내 입금하라’고 요구한다.
최근 경찰이 확인한 비너스락커 랜섬웨어는 악성코드 분석을 방해하기 위해 소스코드를 읽기 어렵게 바꿨다. 특히 연말정산이나 인사발령, 구인·구직 등 특정 시기에 맞춰 공격 대상자들에게 ‘맞춤형’으로 유포된다는 점도종전과 다르다.
경찰 관계자는 “자연스러운 한국어를 구사한다는 점에서 한국인이 범행에 가담한 정황이 포착돼 유형이 같은 신고 사건을 모아 수사에 착수했다”며 “아울러 ‘이창수’라는 이름의 발신자 계정(changsoo lee)이 쓰인 피해 사례와 대응 요령을 모바일 애플리케이션 ‘사이버캅’과 경찰청 사이버안전국 홈페이지에 올렸다”고 말했다.
이어 “랜섬웨어 피해를 막으려면 출처가 불분명한 이메일의 첨부파일은 실행하지 말고, 운영체제와 인터넷 브라우저 등을 최신 버전으로 업데이트하라”며 “랜섬웨어 전용 백신 프로그램을 사용하고, 이중 확장자(.doc.lnk 또는 .jpg.lnk)가 붙은 문서나 이미지 파일이 첨부된 경우 함부로 실행하지 말라”고 당부했다.
