랜섬웨어 크립토락커 상륙, 한국 네티즌 타겟… 대형 재난 우려

  • 동아닷컴
  • 입력 2015년 4월 21일 18시 06분


코멘트
크립토락커 바이러스가 감염된 PC의 화면
크립토락커 바이러스가 감염된 PC의 화면
대형 인터넷 커뮤니티 사이트 클리앙에 한국형 랜섬웨어 악성코드 크립토락커가 유포되면서 인터넷이 난리가 났다.

이미 사진 내용들과 업무 실적과 관련된 자료들이 다 날아가는 바람에 한탄하는 네티즌들 사이에서 심각성이 제기되면서 문제가 커지고 있다.

회원들 중에 회사에서 보안, IT를 담당하는 네티즌들은 사이트 접속 자체를 막아놓기도 했다. 한때 뽐뿌, DC인사이드 등 여러 커뮤니티가 진원지로 거론됐지만 클리앙 운영진이 사실을 고백하면서 혼란은 일단락됐다.

▼ 크립토락커, 컴퓨터 속 중요 정보 암호화
클리앙 운영진에 따르면 이 사이트는 21일 오전 새벽 1시 38분부터 오전 11시 12분까지 바이러스에 감염돼 악성코드 크립토락커가 유포됐다.

유포경로는 사이트와 독립적 형태로 운영 중인 별도의 광고서버를 통해 침투했다. 해커는 임의 방법을 통해 광고 서버 관리자 계정을 획득한 94.185.XX.XX IP가 광고에 악성코드를 삽입해 유포했다.

운영진은 “문제를 확인한 즉시 광고 서버를 중단, 이 페이지를 인터넷진흥원에 신고했다”고 밝혔다.

랜섬웨어 악성코드는 PC 내의 중요 자료나 개인정보를 탈취해 역으로 네티즌을 협박하거나 돈을 요구하는 방법이다. 랜섬웨어의 랜섬(ransom)이란 단어는 납치·유괴된 사람에 대한 몸값을 뜻한다.

운영진의 공지 후 클리앙 사용자들은 발칵 뒤집어졌다.

회원 A 씨는 “회사에 파일들이 다 잠겨서 큰 문제다. 파일을 꼭 복구해야 한다. 납품해서 돈을 받아야 하는데 이걸 어찌해야 하나”라면서 “해결책을 좀 부탁한다”고 호소했다.

회사원임을 밝힌 B 씨 또한 “회사 노트북 자료가 다 날라갔다. 사이트 차원에서 해결 가능한 것인가?”라며 우려했다.

이들 유저들의 업무가 마비된 이유는 크립토락커의 활동 방식에서 비롯했다. 이 랜섬웨어는 감염된 PC 속의 문서, 사진, 동영상 등의 중요 파일을 암호화해 버린다.

이에 사용자는 자신의 컴퓨터에 내장된 정보들을 접속할 수도 없다. 이를 약점 삼아 해커는 피해 사용자들과 접촉해 암호화 방식을 풀어주는 대가로 금전을 요구한다.

현재까지 확장명 hwp, xls, ppt, doc, pdf 파일은 크립토락커로 인해 암호화 된 것으로 알려졌다. 그 외 이미지 파일인 png 파일은 비활성화된 것으로 전해졌다.

클리앙 운영진은 ‘랜섬웨어 바이러스 대응검색 해제’ 공지를 별도로 첨부했다.

안내문에 따르면 우선 가장 중요한 점은 깔린 악성코드를 찾아내 삭제 하는 것이다.

해제 방법은 안전모드 네트워킹으로 컴퓨터를 재부팅 한 뒤 (trendmicro cryptolocker removal tool)을 다운 받아 랜섬웨어를 제거해야 한다. 랜섬웨어 제거 후엔 파일 백업과 PC 암호화 여부에 대해 확인을 해야 한다.

▼ 변종 악성코드 우려, 대형 재난 발생할 수도…
문제는 ‘클리앙 사태’가 시작에 불과할 수 있다는 점이다.

크립토락커 유포는 인터넷 서핑을 하다가 악성코드를 감염시키는 ‘드라이브 바이 다운로드’(Dbd) 방법으로 진행됐다. 기존 이 방법은 악성코드에 감염된 PC를 조작해 이용자가 정상적인 홈페이지 주소로 접속해도 피싱(가짜)사이트로 유도하는 소극적 방법 파밍에 사용됐다.

해커들이 한글화 과정을 거쳐 직접 PC에 암호화시키는 적극적 해킹 전략을 취한 것이다.

특히 인터넷 사이트 광고서버는 이번 클리앙 운영진이 밝혔듯 매우 취약한 실정이다. 관리자가 직접 관리하지 않고 광고대행사가 관리하는 곳도 많다.

변종 악성코드 유포도 우려되고 있다. 클리앙 사용자 C 씨는 “변종 악성코드를 만드는 건 정말 쉽다” 주장했다.

그는 “악성코드는 코드를 조금만 변형해도 해시값이 바뀌기 때문에 치료 백신이 검출하지 못한다”고 말했다. 바이러스 백신의 작동방법은 패턴에 기반하는데 이 패턴은 악성코드가 발견된 이후에 적용 될 수 있기 때문이다.

이에 “이를 예방하기 위해선 운영체제와 애플리케이션 업데이트가 매우 중요하다”고 강조했다.

그는 “예방법은 한가지다. 반드시 최신 업데이트를 실시하고 가능하다면 광고서버를 블록(차단)하는 것도 한 방법이 된다”고 설명했다.

한편 클리앙 운영진은 공지를 통해 “종전 이 사이트의 관리자 계정은 외부에서 임의로 접속할 수 없도록 숨겨져 운영됐다. 송구하다”고 사과하면서 “광고서버 보안절차를 강화하겠다”고 밝혔다.

동아닷컴 도깨비뉴스 임성엽 기자 lsy87@donga.com

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스