랜섬웨어 '크립트XXX' 변종 해외서 다시 출몰

국내 인기 온라인 커뮤니티인 뽐뿌, 딴지일보 등과 함께 주요 매체와 연결되는 외주광고 서버를 통해 유포돼 피해자를 양산했던 랜섬웨어 '크립트XXX' 변종이 해외에서 다시 출몰하고 있어, 국내 사용자들도 주의가 요망된다.

이스트소프트(대표 정상원)는 이달 초 국내 대형 커뮤니티를 중심으로 급속히 유포돼 사용자 피해를 입힌 크립트XXX의 새로운 변종이 해외에서 '뉴트리노 익스플로잇 키트(Neutrino Exploit Kit)'라는 취약점 공격툴을 악용해 다시 유포되기 시작했다고 23일 밝혔다. 변종 랜섬웨어는 이 취약점 공격툴이 가진 기능 중 플래시 플레이어에서 발견된 취약점을 악용했다.

변종 랜섬웨어는 감염 이후 PC에 존재하는 각종 문서, 사진, 음원, 압축 파일 등을 암호화하는 공격을 수행하며, 기존 변종들과는 다르게 '*.crypt', '*.cryp1', '*.cryptz' 확장명에 임의의 무작위 확장명을 추가해 암호화하는 것으로 분석됐다.

이스트소프트 관계자는 "6월 21일 기준 변종이 해외에서 보고된 이후 아직까지는 국내 피해사례가 보고되지는 않았다"며 "다만 웹사이트를 통한 유포 기법으로 인해 언제든지 국내 피해로 이어질 가능성이 존재하므로, 각별한 주의와 대비가 필요한 시점"이라고 말했다.

아직 국내 피해사례 보고는 없지만 암호화 대상 파일로 음원, 사진 외에도 한국에서 주로 많이 이용하는 문서 파일(HWP, DOC, PDF, XLS, PPT 등)도 모두 포함돼 있어 국내 사용자가 이 변종 랜섬웨어에 감염될 경우에도 피해를 입을 수 있을 것으로 예상된다.

이 랜섬웨어는 국내서 발견된 것과 마찬가지로 한국어를 포함해 25개국 언어를 지원하며, 파일에 대한 암호화를 풀어주는 대신 1.2비트코인(약 80만원)을 요구한다. 그 뒤 피해자가 약 100시간이 지나도 비트코인을 지불하지 않으면 대가를 2배로 올려 2.4비트코인을 내라며 공포심을 조장한다.

이스트소프트는 자사 백신 프로그램인 '알약'을 통해 테스트해 본 결과, 새로 등장한 변종 랜섬웨어를 기존 행위기반 탐지 기능을 통해 완벽하게 사전 차단할 수 있는 것으로 확인됐다.

6월3일~6월7일까지 국내 대형 온라인 커뮤니티를 통한 랜섬웨어 유포 사건 당시 알약은 행위기반 차단 건수가 사상 최고치인 약 4만 5천 건에 육박했고, 이후에도 일 평균 약 1만 건 이상 차단된 것으로 집계됐다.

이스트소프트 보안사업본부 김준섭 본부장은 "크립트XXX 랜섬웨어 변종이 꾸준히 제작, 유포되고 있어 개인과 기업 모두 각별한 주의가 필요하다"며 "운영체제(OS)를 포함해 플래시 플레이어, 자바 등은 항상 최신 버전으로 유지하고, 랜섬웨어 차단 기능이 탑재된 보안 제품 활용과 중요 자료 백업을 생활화하는 등 보안 수칙 준수에 만전을 기하는 것이 매우 중요한 시기"라고 강조했다.

관련기사

이 회사는 윈도, 인터넷익스플로러, 어도비 플래시 플레이어, 각종 문서제작프로그램 등 OS와 함께 자주 사용하는 소프트웨어에 대한 보안 업데이트를 적용하고, 알약 등 백신을 최신 버전으로 유지하며, 중요 파일들의 경우 PC나 노트북이 아니라 외장하드, USB 등 외부 저장매체에 백업하는 습관을 들여야한다고 조언했다.

현재 알약에서는 이번 랜섬웨어 악성코드를 ‘Trojan.Ransom.CryptXXX”으로 탐지하고 있다.