랜섬웨어 공격도 소비자 트렌드 따라 '변화'


좋아하는 유튜버 구독자 수 늘리려 랜섬웨어 제작 경우도

[아이뉴스24 최은정 기자] 엔드포인트를 겨냥한 랜섬웨어 공격수법이 점점 다양해지고 있다.

특히 최근 악성코드를 이용한 공격이 스마트폰을 경로로 한 형태로 바뀌면서 사용자의 각별한 주의가 요구된다.

6일 보안업계에 따르면 최근 스마트폰을 통한 SNS 등 이용이 일상화 되면서 이를 타깃으로 한 사이버 공격이 늘고 있다.

[아이뉴스24 DB]

정보통신정책연구원 ICT통계정보연구실에 따르면 지난해 국내 전체 연령의 평균 스마트폰 보유율은89.4%에 달하는 것으로 집계됐다. 또 하루 평균 이용 시간은 1시간 36분으로 청년층은 주로 유튜브 등에서 영상 콘텐츠를, 고연령층은 문자 콘텐츠를 즐겨 이용하는 것으로 조사됐다.

이 같은 스마트폰 이용 패턴 등을 겨냥한 랜섬웨어 등 공격도 덩달아 늘고 있는 것.

일례로 지난 3월 유명 유튜버 퓨디파이의 한 극성팬은 구독수를 1억 명으로 늘리려 랜섬웨어 공격을 감행한 바 있다.

뉴질랜드에 본사를 둔 보안업체 엠시소프트가 공개한 해당 랜섬웨어는 유튜버 이름을 따 '퓨크립트'로 불린다. 이는 자바 기반 랜섬웨어로, 대칭암호(AES)와 공개키·비공개키 조합(RSA) 알고리즘으로 사용자 PC 내 파일을 암호화한 뒤 퓨디파이 유튜브 채널을 구독하라는 메시지를 띄운다.

메시지 내용에는 퓨디파이 경쟁자인 인도 영화 사운드트랙 유통업체 '티시리즈'에 대한 경고도 포함됐다. 만약 티시리즈가 퓨디파이 구독자 수를 앞지를 경우 파일 암호를 푸는 데 필요한 키를 완전히 삭제하겠다는 협박성 내용이 덧붙여진 것.

다행히 퓨크립트 개발자가 복호화 툴을 오픈소스로 공개하면서 사건은 마무리 됐고, 엠시소프트도 이를 기반으로 복호화 툴을 개발해 공개했다.

최근에는 안드로이드 운영체제(OS) 환경에서 시작된 랜섬웨어도 발견됐다. 슬로바키아에 본사를 둔 백신 업체 이셋은 지난달 말 '안드로이드 파일코더C'를 발견했다고 발표했다. 이는 안드로이드 환경 사용자에게 악성링크가 포함된 문자 메시지를 보내고, 해당 링크 접속을 유도해 랜섬웨어에 감염시키는 방식이다.

해당 링크를 누르면 암호화가 진행되는 데 50MB를 넘는 아카이브나 150KB보다 작은 이미지는 대상에서 제외하고, 안드로이드 기기에는 없는 암호화 파일 유형이 포함되는 등 특이점을 갖는다. 일반 안드로이드 랜섬웨어와는 달리 기기 화면을 잠그지 않는다는 점도 차이다.

특히 해커는 피해자 파일을 암호화 하기 전, 연락처 목록을 염탐해 모든 사람들에게 똑같은 메시지를 발송하며, 이를 전 세계 42개 언어로 발송해 빠른 속도로 확산될 가능성이 있다는 게 이셋 측 분석이다.

이셋은 해당 공격 배후로 성인 콘텐츠 관련 게시글로 사람을 유인한 뒤 악성 도메인에 접속하게 만들어 피해자 시스템을 감염시키는 수법을 주로 사용하는 그룹으로 추정했다.

다만 파일코더C는 복호화 키를 사용하지 않아도 파일 복구가 가능해 비교적 허술한 알고리즘을 사용했다고 평가되고 있다.

박진호 숭실대 소프트웨어(SW)학부 교수는 "랜섬웨어 공격도 고객 밀착형으로 이뤄지기 때문에 사용자가 많은 곳을 찾아 공격을 감행한다"며 "기존 텍스트 중심 이메일 공격이 다수였다면 최근에는 SNS, 유튜브 이용자 대상 공격으로 바뀌고 있다"고 진단했다.

이성식 카스퍼스키랩코리아 부장은 "하루에도 랜섬웨어 변종은 수 십개씩 나오는 상황"이라며 "랜섬웨어 제작이 비교적 쉬워진 점도 이유 중 하나"라고 설명했다.

최은정 기자 ejc@inews24.com







포토뉴스