클리앙에서 첫 유포…웹서핑만으로 감염

컴퓨터 이용자의 중요 자료나 개인정보를 암호화하고 이를 복구하는 조건으로 돈을 요구하는 유형의 악성코드 ‘랜섬웨어’(ransomeware)가 국내 웹사이트에서 확산하고 있어 주의가 요구된다.

22일 한국인터넷진흥원(KISA) 등에 따르면 전날 오전 1시 40분께부터 약 9시간 동안 랜섬웨어의 하나인 ‘크립토락커’(Cryptolocker) 한국어 버전이 국내 대형 온라인 커뮤니티인 클리앙에서 유포되기 시작했다.

클리앙 사이트에 접속하기만 해도 자동으로 감염될 확률이 높아 누리꾼들의 피해 사례가 잇따르고 있다.

크립토락커의 한글판이 확인된 것은 이번이 처음이다. 그동안에는 외국에서 보내온 영문 이메일을 열어봤다가 감염된 사례가 종종 있었지만 이처럼 한국을 표적으로 한 한글판 크립토락커가 등장한 적은 없었다.

해당 악성코드는 ‘드라이브 바이 다운로드’(Drive by Download) 방식으로 유포된 것으로 추정된다. 이는 웹 브라우저나 플러그인의 보안 취약점을 이용해 악성코드가 사용자의 PC에 침투하는 형태를 말한다.

KISA에 따르면 이 악성코드는 감염된 PC의 시스템 파일을 제외한 마이크로소프트(MS) 오피스 계열 및 한글문서 파일, 압축 파일, 동영상, 사진 등을 무단으로 암호화한 후 해독해 주는 조건으로 96시간 내에 돈을 지급하도록 유도하고 있다.

또 공격자는 추적을 피하려고 익명 네트워크인 토르(Tor)를 사용하고 비트코인으로 돈을 지급하도록 하는 등 치밀함을 보였다.

KISA는 안랩, 이스트소프트, 하우리, 트랜드마이크로 등 국내외 백신사와 공조해 악성코드 샘플을 공유하고 유포지와 경유지 차단 등의 조처를 했다고 밝혔다.

아울러 변종 랜섬웨어와 악성코드 유포지가 추가로 발생할 우려가 있고 한번 감염되면 암호화된 파일을 복구하기가 어렵다며 인터넷 이용자의 각별한 주의를 당부했다.

임진수 KISA 코드분석팀 팀장은 “감염을 예방하려면 인터넷 익스플로러와 플래시 플레이어의 보안을 업데이트하고 PC 내 중요한 문서를 백업해두는 습관이 필요하다”며 “보안업체에서 제공하는 안티 익스플로잇 도구를 활용하는 것도 도움이 된다”고 말했다.

한편 클리앙 측은 악성코드 유포 당일 운영자 공지를 통해 감염 사실을 알리고 사과했으며 보안 절차를 강화하고 있다고 밝혔다.

연합뉴스