[테크리포트] 랜섬웨어 침입 경로는… 이메일 첨부파일 열면 컴퓨터에 악성코드 심어

개인용 PC나 모바일에 침입해 데이터를 인질로 삼는 랜섬웨어는 통상 이메일이나 특정 URL을 통해 악성코드를 심는다.

이메일에 첨부된 실행 파일, 압축 파일, 이미지 등을 열면 악성코드가 유입된다. 악성코드를 심어놓은 후, 중요한 문서로 위장해 첨부파일을 클릭하도록 유도하는 방식이다. 보안이 허술한 기관, 단체, 중소기업 등의 웹사이트에서 악성코드가 유포되거나 경유지로 악용되는 사례도 많다. 그러다 보니 보안이 허술한 국내 웹사이트 곳곳에서 랜섬웨어 악성코드가 포착되고 있다.

실제로 얼마전 국내에서 웹 포털에 ‘박병호 포스팅’이라는 키워드를 검색해 특정 온라인 기사 사이트에 접속할 경우, 익스플로잇 사이트(exploit site·설계상 취약점을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 사이트)로 리다이렉션 돼 랜섬웨어에 감염된 사례가 발생하기도 했다.

랜섬웨어는 다양한 기법을 활용해 전 세계적으로 빠르게 확산되고 있다. 올해 발견된 악성코드 ‘록키(Locky)’는 가장 유명한 랜섬웨어 중 하나다. 지난 2월에 발견된 록키 랜섬웨어는 감염되면 파일의 확장자에 ‘.locky’가 추가되는 것이 특징이다. 스팸 메일에 악성 매크로가 포함돼 있는 문서 파일(doc 등)을 첨부한 형태가 주를 이뤘다.

최근에는 모바일 결제 방식이 추가된 랜섬웨어 ‘록쿠(Rokku)’가 새롭게 출현했다. 록쿠 랜섬웨어는 최근 이메일에 첨부된 JS 스크립트 파일과 MS 워드 문서를 통해 감염되는 록키 랜섬웨어 코드와 유사한 것으로 파악된다.

록쿠 역시 이메일을 통해 유포된다. 악성파일이 실행되면 바탕 화면을 비롯한 다양한 폴더에 금전을 요구하는 메시지 파일 2개를 생성한다. 이후 하드디스크, 네트워크 공유 폴더에서 문서, 사진, 압축 파일 등을 찾아 ‘.rokku’ 확장명으로 변경해 파일을 암호화한다. 특히 파일 암호화 과정에서 시스템 복원 기능을 무력화하는 작업이 백그라운드로 진행돼 암호화된 파일을 복구할 수 없게 만든다.