21일 25건 피해 접수, 최대 1만명 피해?...클리앙 측 현재 조치중_
1~2개 취약점으로 테스트?...보안전문가 “앞으로 피해 엄청날 것”_랜섬웨어 유포방식, 이메일에서 웹으로 진화하는 등 시사점 커  

[보안뉴스 김경애] 커뮤니티 사이트 클리앙에서 21일 IE와 플래시 취약점을 결합한 랜섬웨어 악성코드가 유포된 것으로 드러났다. 

본지가 ‘[긴급] 크립토락커 랜섬웨어 비상! 한글버전으로 국내 정조준’이라는 제목으로 파일을 암호화해 돈을 요구하는 악성코드인 랜섬웨어 가운데서도 가장 강력한 것으로 평가받는 크립토락커의 한글버전이 국내에 유포되고 있다고 최초 보도한 이후, 커뮤니티 사이트인 클리앙을 통해 이 악성코드가 대규모로 확산됐다는 사실이 알려진 것이다.   

 ▲ 랜섬웨어 악성코드 유포와 관련해 사과글이 게시된 클리앙 웹사이트 캡처화면
클리앙 운영자는 “21일 새벽 클리앙이 바이러스에 감염되어 악성코드가 유포됐다”며 “관련사실을 확인하고 현재 조치 중에 있으며, 현재는 원인을 제거해 악성코드를 유포하고 있지 않고 있다”고 밝혔다.

하지만 21일 새벽부터 오전 11시경까지 클리앙에 익스플로러로 접속했을 경우 감염됐을 가능성이 높다고 밝힌 만큼 피해가 속출할 것으로 보인다. 만약 랜섬웨어 악성코드에 감염되면 모든 파일이 암호화가 진행돼 파일을 복구할 수 없을 가능성이 높아 많은 피해가 우려된다.  

이와 관련 보안전문 파워블로거인 울지 않는 벌새는 “21일 오전 6시경 V3 기준으로 당시 유포에 활용된 URL 노출값이 2,000건이 넘었으며, V3사용자가 아닌 경우도 많으므로 최대 1만명 가까이 위협에 노출됐을 것”이라고 추정했다.

또한, 하우리 최상명 실장은 “IE나 플래시의 경우 해당 프로그램에서 원격코드를 실행할 수 있는 문제가 있어 취약점 패치가 공개됐는데, 만약 패치하지 않았다면 악성코드를 설치하는데 취약점이 악용될 수 있기 때문에 수백, 수천명 이상의 피해자가 발생할 것”이라고 설명했다.

상황이 이렇다보니 네티즌들의 불만도 폭주하고 있다. 한 네티즌은 “웹사이트에서 웹방화벽 등 여러 가지 대응을 하지만 가끔 알려지지 않은 보안버그로 인해 이런 악성코드 주입도 생긴다”며 “이번 건은 사진, 문서 등 데이터 파일을 암호화해 버리는 악성코드라 피해가 심각하다”고 밝혔다.

또 다른 네티즌은 “대부분의 랜섬웨어는 윈도우 계열을 감염시키고 익스플로러 취약점을 이용한다”며 “물론 변종 중에 맥이나 리눅스 등도 있지만 대부분 윈도우와 IE를 타깃으로 한다”고 밝혔다.



이와 함께 이번 악성코드에 대한 분석과 함께 나름의 대처법을 제시하는 네티즌들도 눈에 띄었다. 한 네티즌은 “아마도 IE의 보안 허점을 노린 것 같다”며 “해당 악성코드를 보니 IE면 어떤 DLL을 로드할려고 하고 그외 브라우저에서는 트위터로 리디렉트 한다는 것으로 볼 때 IE의 보안 버그를 이용한 악성코드 감염 같다”고 분석했다.

다른 네티즌도 “무엇보다 업데이트가 중요하다. 특히 어도비나 플래시의 업데이트 경우 보안관련 업데이트가 많다”며 “이는 그만큼 플래시 취약성을 노리는 공격이 많다는 것”이라고 밝혔다.

특히, 이번 클리앙 랜섬웨어 악성코드 유포 사건의 경우 이전과는 다른 공격형태를 띄고 있어 주목해야 한다는 게 보안전문가들의 지적이다. 기존 랜섬웨어의 경우 일반적으로 이메일의 첨부파일을 통해 공격이 이뤄졌으나 이번 사건의 경우 웹에서 드라이브 바이 다운로드 방식으로 대량 유포됐다는 점이다. 즉, 랜섬웨어의 유포방식이 메일에서 웹으로 이동했다는 점이다.

이와 관련 빛스캔 문일준 대표는 “이번 취약점은 크게 2가지 관점에서 볼 수 있다”며 “첫번째는 해외에서는 드라이브 바이 다운로드가 워터링홀 공격과 같이 특정 타깃을 공격일 때 쓰이는 방식인 반면, 국내의 경우 불특정 다수를 대상으로 대량 유포할 때 많이 쓰인다”며 “이번 공격에서 드라이브 바이 다운로드 방식을 악용했으며, 공격방식도 기존 이메일에서 웹으로 옮겨졌다”고 설명했다.

이어 두 번째는 일반적으로 플래시, 자바, IE 등 8~10개 취약점을 결합해 공격하는 반면, 이번 공격에서는 1~2개 취약점을 이용해 공격한 것으로 봐서 테스트 공격으로 추정된다는 것. 즉, 이번 테스트 공격 효과 여부에 따라 앞으로 엄청난 피해가 발생할 수 있다는 얘기다.  
따라서 사용자는 백신은 물론 자바, 플래시 등을 최신 버전으로 업데이트해야 한다. 또한, 파일 백업도 하드디스크에 변화된 걸 집어주는 스냅샷 기능이 있는 백업 전용 프로그램을 사용하는 것이 유용하다. 
이 외에도 한 보안전문가는 “가상화 시스템 운영 환경이 가능하다면 가상화 환경 내에서만 인터넷 접속하는 것도 방법 중 하나”라며 “주요 문서는 별도 USB나 하드디스크에 저장하거나 가상화 밖에 파일을 보관하는 것이 바람직하다”고 말했다.

이번 사건은 가장 강력하다고 평가받는 랜섬웨어인 크립토락커의 한글버전이 최초로 등장해 한국사용자들을 타깃으로 했다는 점과 함께 기존 랜섬웨어 유포 방식인 이메일 대신 웹사이트를 통한 드라이버 바이 다운로드 방식을 사용하는 등 여러모로 시사하는 점이 크다는 게 보안전문가들의 분석이다. 더욱이 클리앙과 같이 많은 이들이 방문하는 대형 커뮤니티 사이트를 테스트 삼아 공격했기 때문에 앞으로 더욱 큰 피해를 예고하는 전주곡의 성격이 짙다. 그렇기에 랜섬웨어 악성코드에 대한 더욱 더 철저한 대비가 필요하다는 지적이다. [김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>