[아이뉴스24 김국배기자] 유럽 국가를 겨냥한 랜섬웨어가 또 다시 확산되고 있다.
지난 5월과 6월 발생한 워너크라이(WannaCry), 페트야(Petya)에 이어 올해만 벌써 세 번째다. 새 랜섬웨어는 '배드 래빗(Bad Rabbit)'이라 불린다.
러시아, 우크라이나, 터키, 독일, 불가리아 등이 영향을 받았으며, 국내에도 유입될 가능성이 있어 예의주시하는 상황이다.
랜섬웨어는 중요 파일을 암호화한 후 이를 풀어주는 대가로 금전을 요구하는 악성코드다.
24일(현지시각) 카스퍼스키랩, 이셋(ESET), 소포스, 시스코 탈로스 등 글로벌 보안 기업은 배드 래빗 랜섬웨어가 유럽에 급속히 퍼지고 있다고 일제히 경고했다.
배드 래빗은 통신사, 공항, 기차역 등 200여 개 기관에 영향을 끼친 것으로 알려진다. 실제로 러시아 민영 통신사인 인테르팍스(Interfax)가 공격을 받아 일부 뉴스 서비스가 중단됐다.
또 우크라이나 오데사 국제공항을 비롯해 수도 키예프의 지하철 결제시스템 등 주요 인프라가 공격을 받은 것으로 알려졌다.
이 랜섬웨어는 사용자가 웹사이트에 방문해 가짜 어도비 플래시 업데이트 파일을 내려받아 실행할 때 감염된다. 먼저 설치된 파일이 공격자의 명령제어(C&C) 서버와 통신해 랜섬웨어를 추가로 다운로드하는 '드로퍼' 역할을 한다.
감염될 경우 공격자는 암호를 풀려면 40시간 내 0.05비트코인을 보내라고 협박한다. 현재 환율로 대략 285달러 정도다.
글로벌 보안업체는 배드 래빗과 이전 랜섬웨어 공격 간 연관성을 찾고 있다. 워너크라이나 페트야는 윈도 서버 메시지 블록(SMB) 취약점을 악용해 네트워크에서 전파되는 '웜' 형태여서 확산이 빨랐다.
카스퍼스키랩은 배드 래빗이 지난 6월 우크라이나 정부기관과 기업을 공격한 낫페트야(Not-Petya) 랜섬웨어와 유사한 방법으로 확산한 것으로 보고 있다. 낫페트야는 페트야 랜섬웨어의 변종이다.
이셋은 배드 래빗이 낫페트야와 마찬가지로 SMB 공유 서비스를 통해 확산되지만, 취약점은 쓰지 않았다고 분석했다.
김남욱 이셋코리아 대표는 "내부 네트워크에 열려있는 SMB 공유 서비스를 검색하고 해킹도구인 미미캣츠(mimikatz)를 사용해 감염된 컴퓨터에서 계정정보를 수집한 후 확산한다"며 "웹사이트 방문 시 추가 프로그램 다운로드에 주의해야 한다"고 전했다.
한국인터넷진흥원(KISA)도 이날 감염 피해를 주의하라고 권고했다.
이동근 KISA 침해사고분석단장은 "현재 랜섬웨어 악성코드 샘플을 확보해 국내 백신 회사에 공유하고 분석중"이라며 "아직까지 국내에 유입됐다는 보고는 없지만 지속적으로 피해 발생 여부를 모니터링 할 예정"이라고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기