피싱메일과 결합한 한국형 랜섬웨어 유포

 뉴딜코리아 홈페이지

피싱메일과 결합한 한국형 랜섬웨어 유포

- 한국 대상 맞춤형으로 유포되어 주의 필요 -

 □ 한글 전자우편으로 유포된 최초의 랜섬웨어 피해 확대

 ○ △예약 관련 문의, △회사 지원, △명함 제작 등의 내용이 담긴 능숙한 한글 피싱 전자우편으로 신종 랜섬웨어인 ‘비너스락커(Venuslocker)’가 전파되고 있어 국민들의 각별한 주의가 필요하다.

    ※ 랜섬웨어 : 전자기기 내 파일을 암호화하고 그것을 푸는 대가로 금원을 요구하는 악성코드

‘비너스락커’ 랜섬웨어는 피해자 PC의 파일을 .venusp 혹은 .venusf 확장자로 암호화하며, 2016년 12월 말부터 국내 공공기관, 기업 등에 유포 중

 ○ 기존에 영문 전자우편이나 취약한 누리집에서 랜섬웨어가 유포되었던 것과 달리, 랜섬웨어가 자연스러운 한글 전자우편 형태로 배포된 것은 이번이 최초이다.

  - [사례1] 여행업체에 여행 일정으로 위장한 랜섬웨어 유포(2월 초)  

 (메일 문구) 안녕 하세요 이창수라고 합니다. 이번 달 말쯤 해서 여행을 가려고 합니다. (중략) 자세한 일정이랑 관련해서 간단한 질문사항들은 워드에 정리를 하였습니다. 여권사진이랑 같이 첨부하니 확인하신 후 예약가능여부를 알려주세요. (중략) 답변메일 부탁드릴게요.~ 감사합니다.

  - [사례2] 인쇄업체에 명함 디자인 시안으로 위장한 랜섬웨어 유포(2월 초)   

 (메일 문구) 안녕 하세요 이창수라고 합니다. 이번에 저희회사 명함을 제작하려고 합니다. (중략) 기존의 명함에서 디자인을 새로 변경하려고 하는데요. 디자인 시안은 2개를 해서 같이 보내드립니다. (중략) 압축해제 하셔서 확인하시고 견적서랑 같이 답변 부탁드릴게요. 잘 부탁드리겠습니다.

  - [사례3] 숙박업체에 방사진으로 위장한 랜섬웨어 유포(1월 중순)  

 (메일 문구) 작년 3월쯤에 2주 정도 머물렀는데 그 당시 방이 굉장히 마음에 들었습니다. 이번에 2주정도 이후에 다시 예약을 하려고 생각중인데 일전에 방이 어떤 방인지 기억이 나지 않네요. 그때 찍은 사진을 첨부해서 보내드리니 사진 확인하시고 어떤 룸인지 확인 좀 부탁드리겠습니다. (후략)

  - [사례4] 회사에 지원한다며 신분증 사본으로 위장한 랜섬웨어 유포(1월 중순)  

 (메일 문구) 안녕하세요. 세부사항은 지원서에 작성했고요 신분증 사본 같이 첨부했습니다. 그만큼 진정성 있게 지원한다는 거 알아주세요.

  이게 개인정보이다 보니 압축파일에 비밀번호를 걸었는데요. 비밀번호는 ‘1234’이구요 꼭 일하고 싶습니다. 잘 부탁드리겠습니다. 감사합니다.

□ 해당 랜섬웨어는,

 ○ 암호를 풀기 위해서 가상화폐 1비트코인(현재 120만원 상당)을 72시간 이내에 입금할 것을 요구하며, 

 ○ 올해 사이버안전국 누리집에 총 10건의 ‘비너스락커’ 랜섬웨어 피해사례가 접수되어 수사 중에 있다.

□ 피해 대상·유포 방식의 고도화?한국인 범행 가담 추정

  

     ※ 경찰청, ㈜하우리 공동 분석 

  - ‘비너스락커’ 랜섬웨어는 2016. 12. 말에 비트코인 지불을 위한 한글 안내 화면을 도입하여 최초로 국내에 유입되었고,

    ※ 비트코인 : 익명거래가 가능한 가상통화로 랜섬웨어 공격 비용 지불 수단으로 많이 사용됨 

  - 올해 1월 중순에는 악성코드 분석을 방해하기 위해 소스코드를 읽기 어렵게 바꾸었으며(난독화 기능 추가), 

  - 2월에는 국내 맞춤형으로 .hwp의 확장자를 가진 한글문서 암호화 기능을 추가하는 등 성능이 계속 진화되고 있다. 

 ○ 특히 해당 랜섬웨어는 △연말정산(2016. 12.), △인사발령(2017. 1.), △구인구직(2017. 2.) 등의 특정 시기에 맞춰 각기 다른 내용으로 유포되었으며, 

  - 기존 랜섬웨어가 특정 누리집을 통해 다중의 접속자에게 유포되었던 것*과는 달리 고도화된 피싱 전자우편과 결합하여 다수의 공공기관과 금전 지불 능력이 있는 소상공인에 맞춤형으로 배포되었다. 

     * 2016. 6. 뽐뿌 등 일부 커뮤니티 누리집 접속자들에게 랜섬웨어 유포 등 

 ○ 또한 유포 자가 피해자와 전자우편 답장을 주고받는 등 기존 사례와 차별화된 양상을 보이고 있으며, 특히 자연스러운 한국어를 구사한다는 점에서 한국인이 범행에 가담한 정황이 포착된다.

□ 랜섬웨어는 무엇보다 예방이 가장 중요 

 ○ 랜섬웨어 예방을 위해서는, 

  - 중요한 자료를 별도의 외부 저장장치나 인터넷에 백업을 해야 하며,  

  - 출처가 불명확한 전자우편의 첨부파일은 실행하지 않아야 하고,  신뢰할 수 없는 누리집을 통해 내려 받은 파일 실행에 주의가 필요하다. 

  - 또한 운영체제, 인터넷 익스플로러 등 소프트웨어를 최신 버전으로 업데이트하여 사용하고,

    ※ 악성코드에 감염된 누리집에 특정 소프트웨어의 업데이트가 되지 않은 사용자가 접속할 시 자동으로 감염 

  - 보안 프로그램을 반드시 사용하되, 필요시에는 랜섬웨어 전용 백신을 사용하는 것이 좋다. 

□ 경찰청은, 

 ○ 해당 랜섬웨어에 대한 동일 신고 사건을 병합하여 수사에 착수했으며, 

 ○ 랜섬웨어 피해 사례 및 대응 요령을 지난 2월 3일자로 ‘사이버 캅’ 앱 및 사이버안전국 누리집에 게시하였고, 

 ○ 이후에도 유사 사례에 적극 대처하기 위해, 

  - △ 랜섬웨어 예방정책을 국민에게 적극 홍보하고, △ 한국인터넷진흥원 및 민간 보안업체와 협력하여 관련 동향을 신속히 파악할 예정이다.

□ 추가 내용은 첨부 파일 "비너스락커 랜섬웨어" 을 참고 하세요 ..!