[보안 따라잡기]③진화하는 랜섬웨어, 기업 노린 신종공격 `주의보`

기업 네트워크를 노리는 랜섬웨어 `스네이크(SNAKE)`가 암호화한 파일이 담긴 폴더.(자료=이스트시큐리티 알약 블로그)

[이데일리 이후섭 기자] 랜섬웨어는 불특정 다수를 대상으로 무차별 감염을 시도하는 공격으로, 통상 이메일을 통해 대량 유포된다. 공정거래위원회·금융감독원 등 공공기관 뿐만 아니라 은행 금융회사, 기업의 입사지원서까지 사칭해 이메일을 열도록 유도해 PC를 감염시킨다. 랜섬웨어에 감염되면 정보를 암호화해 `좀비 PC`로 만들어 정보를 유출하고, 금전을 요구하는 방식이다. 1990년대부터 PC 잠금기능을 가진 악성코드를 플로피 디스크에 담아 우편으로 보내는 수법으로 존재하던 랜섬웨어는 2010년대 들어 본격 확산하고 있다.

지난해에도 기승을 부렸던 랜섬웨어는 올해 기업을 타겟으로 하는 형태의 공격이 증가할 것이라는 전망이 나온다. 한국인터넷진흥원(KISA)과 안랩·이스트시큐리티 등이 발표한 `올해 보안위협 전망` 순위를 살펴보면 타겟형 랜섬웨어 공격이 본격화될 것이라는 전망이 수위권으로 꼽혔다. 불특정 개인 PC를 대상으로 마구 유포되는 공격이 아니라 공공기관·기업 등을 노리고 지속적으로 공격하는 `지능형 지속 위협`이 이어질 것이라는 관측이다.

실제 이스트시큐리티 알약 블로그에 따르면 최근 기업 네트워크를 공격해 연결된 모든 기기를 암호화하려 시도하는 새로운 랜섬웨어 `스네이크(SNAKE)`가 발견됐다. 이 랜섬웨어는 원격감시제어(SCADA) 시스템, 가상 머신, 산업 제어 시스템, 원격관리 툴, 네트워크 관리 소프트웨어 등과 관련된 프로세스를 종료시키고, 이후 윈도우 시스템 폴더와 시스템파일을 제외한 기기 내 파일을 암호화시킨다.

파일을 암호화할 때는 파일의 확장자에 문자 5개를 추가합니다. 예를 들어 `1. doc` 파일이 암호화될 경우 `1. docqkWbv`와 같이 변경되는 것이다. 또 암호화된 각 파일 내용 끝에 `EKANS`라는 문자를 추가한다. EKANS는 SNAKE를 거꾸로 쓴 것이다.

컴퓨터 암호화가 완료되면 이 랜섬웨어는 C:\Users\Public\Desktop 폴더에 `Fix-Your-Files. txt`라는 랜섬 노트를 생성한다. 해당 랜섬노트는 돈을 지불하는 방법을 알고싶을 경우 특정 이메일 주소로 연락하라는 내용을 담고 있다.

스네이크 랜섬웨어는 개별 PC가 아닌 네트워크 전체를 노린다. 랜섬노트를 살펴보면 구입이 가능한 해독기가 개별 기기용이 아닌 네트워크 전체용인 것을 알 수 있다.

결국 기업 네트워크 관리자의 각별한 주의가 필요하다. 이스트시큐리티는 “현재 스네이크 랜섬웨어의 취약점을 찾기 위해 분석 중이나, 무료로 복호화가 가능할지 여부는 알 수 없다”며 “아직까지 해당 랜섬웨어에서 취약점은 찾아볼 수 없었다”고 설명했다.