탑배너 닫기

노컷뉴스

한글에 포돌이 나온 과태료고지서…알고보니 韓 표적 랜섬웨어

IT/과학

    한글에 포돌이 나온 과태료고지서…알고보니 韓 표적 랜섬웨어

    중소 모바일 게임 랜섬웨어로 서비스 종료…랜섬웨어 변종·2차 피해 우려

    (사진=스마트이미지 제공/자료사진)

     

    전 세계를 강타한 랜섬웨어가 최근에는 과태료 통지서와 설문조사 등으로 위장한 이메일을 통해 다량 유포되고 있는 것으로 나타났다.

    특히 한 중소 게임개발업체는 랜섬웨어 때문에 모바일 게임 서비스가 영구 중단되기도 하는 만큼 피해가 점점 커지고 있어 컴퓨터 사용자들의 각별한 주의가 요구된다.

    ◇ 소강국면이라더니…'eFINE 교통범칙금'에 페덱스로 날아온 랜섬웨어

    (사진=이스트시큐리티 제공)

     

    6일 통합보안기업 이스트시큐리티에 따르면 '[eFINE]위반사실 통지 및 과태료부과 사전통지서'라는 제목의 이메일을 통해 랜섬웨어가 국내에 다량 유포되고 있다.

    수신자가 과태료를 확인하기 위해 첨부된 '과태료부과고지서.egg'나 '바로가기' 파일을 클릭하면 PC에 저장된 각종 문서나 이미지, 동영상 파일 등 중요한 자료들이 암호화되는 '비너스락커(VenusLocker)' 랜섬웨어에 감염된다.

    ​랜섬웨어는 몸값(랜섬)과 제품(웨어)의 합성어를 뜻하는 악성바이러스 프로그램으로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구한다.

    이중에서도 '비너스락커 랜섬웨어'는 능숙한 한글을 사용하고, 고객 정보 유출 등 국내 사용자 심리나 문화 등을 잘 파악해 공격한다는 점에서 '한국 특화형 랜섬웨어'로 불린다. 압축파일도 알집에서 많이 쓰는 'egg' 파일을 사용했다.

    해당 이메일은 'eFINE 교통범칙금 인터넷 납부'에서 보낸 것으로 위장하고 있다. 그러나 실제 발신자는 'morganrujacksonty@gmail.com'로 지메일을 사용한 가짜 이메일 주소임을 알 수 있다.

    메일에는 eFINE 로고와 경찰마스코트 포돌이, 그리고 eFINE 업무를 설명한 그림이 보이지만 실제로는 eFINE 홈페이지에서 캡처한 그림을 조합한 것에 불과하다.

    암호화 과정이 종료되면 바탕화면에 'VenusLocker_ReadMe.txt' 이름의 랜섬노트 텍스트 파일을 생성되고, 복호화 과정을 안내하는 창이 뜬다. 이번 비너스락커에서는 0.1BTC, 현재 약 30만원에 해당되는 금액을 요구한다.

    이번 'eFINE 교통범칙금' 랜섬웨어는 지난달 말 수원남부경찰서를 사칭한 '차량 법규 위반 과태료 통지서' 랜섬웨어의 또다른 형태다.

    그 수법이 같고 '첨부된 사전납부 고지서를 참고하라'는 내용으로 수신자가 첨부파일에 관심을 가지도록 유도하는 것이다. 의견진술기한이 끝나는 날도 7월 6일로 동일하고, 심지어 공격자가 작성한 것으로 보이는 비슷한 오타도 확인됐다.

    이스트시큐리티 측은 "실제 사전통지서 내용은 '도로교통법 시행규칙 [별지 제154호서식]'의 내용을 복사했고 '(사전납부지 32,000)'는 내용을 입력하다 실수한 것 같다"면서 "즉 공격자도 한국어 자판을 사용하고 (한국어에 대한)어느 정도의 이해력을 가지고 있다는 단서가 될 수 있다"고 말했다.

    ◇ 중소 모바일 게임 랜섬웨어로 서비스 종료…랜섬웨어 변종 및 2차 피해 우려

    부나비게임즈는 게임 서버가 랜섬웨어에 감염돼 파죽지세영걸전의 서비스를 종료하게 됐다고 밝혔다. (사진=유튜브 영상 캡처)

     

    최근에는 게임 서버가 랜섬웨어에 감염돼 모바일 게임 서비스가 종료되는 등 랜섬웨어가 게임업계에도 파장을 일으키고 있다.

    부나비게임즈는 지난달 30일 랜섬웨어 공격으로 인한 모바일게임 '파죽지세영걸전'의 서비스를 종료한다고 밝혔다.

    게임 서비스 종료는 일반적으로 1개월 전에 미리 공지를 하고 일정 기간 결제를 진행한 이용자들에 대해 환불을 제공한다. 그러나 파죽지세영걸전의 경우 서버 복구 불가 이슈로 이날 갑작스레 서비스 종료를 공지했다.

    박광열 부나비게임즈 대표는 "서버 이전 작업 도중 지난 29일 랜섬웨어에 게임 서버가 공격을 당해 서버 복구가 매우 힘들 것이란 결론을 내리게 됐다"고 밝혔다.

    이번 서비스 종료로 이용자들은 6월 1일부터 16일까지 접수를 통해 지난 4월부터 결제한 상품들에 대해 환불을 받을 수 있다.

    앞서 워너크라이 랜섬웨어 공격으로 인해 전 세계 150여개국에서 20만건에 달하는 피해가 발생한 바 있다.

    이후 잠잠해지는듯했지만 최근 2주간 법규 위반과 과태료 등으로 위장한 랜섬웨어 감염사례가 국내에서 심심치 않게 발견되고 있어 각별한 주의가 요구되고 있다.

    특히 최근에는 '설문조사', '페덱스 배송', '차량 법규 위반 과태료 통지서' 등 한글로 작성돼 우리나라 사용자를 표적으로 삼은 듯한 랜섬웨어가 다양한 형태의 이메일로 유포됐다. 국가 기관이나 기업뿐만 아니라 블로그 서비스 이용자 등 평범한 개인에게까지 피해를 주고 있는 것이다.

    보안 업계에서는 특히 이번 게임 서버 감염은 서버 백업 등의 랜섬웨어 대응조치를 제대로 해놓지 못하면 서비스가 갑작스레 중단될 수 있고, 더 나아가 회사가 큰 타격을 입을 수 있다는 점에서 시사하는 바가 매우 크다고 보고 있다.

    특히 지난 워너크라이 랜섬웨어로 인한 국내 피해는 많지 않았지만 당시 280종이 넘는 변종방식 확산과 2차 공격을 예상하기도 해 추가 피해 우려가 커지고 있다.

    이스트시큐리티 관계자는 "지난해 말부터 이메일을 통한 한국 맞춤형 랜섬웨어 '비너스락커', '오토크립터'가 기승을 부리고 있다"면서 중요한 자료는 외장 매체에 보관하는 등 보안 습관을 당부했다.

    이 시각 주요뉴스


    실시간 랭킹 뉴스

    노컷영상

    노컷포토

    오늘의 기자