웹사이트 방문만으로 감염되는 드라이브 바이 다운로드 방식으로 유포
최신 버전 백신 프로그램 설치와 OS·SW의 보안 업데이트 필수
[보안뉴스 권 준 기자] 우리나라에 더욱 악명이 높은 케르베르(Cerber) 랜섬웨어와 유사한 신종 랜섬웨어가 출현했다. 특히, 드라이브 바이 다운로드(Drive-by-Download) 기법을 통해 웹으로 유포되고 있어 국내 인터넷 사용자들의 각별한 주의가 필요할 것으로 보인다.
▲ 마이랜섬 랜섬 노트[자료=SCH사이버보안연구센터]
신종 랜섬웨어를 발견한 순천향대학교 SCH사이버보안연구센터(염흥열 센터장)에 따르면 이번 랜섬웨어는 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 멀버타이징(Malvertising) 방식으로 유포되고 있는 것으로 확인했다. 센터 측은 지금까지와는 다른 형태의 신종 랜섬웨어로 판단해 ‘마이랜섬(MyRansom)’이라 명명했다.
익스플로잇은 서버에 접근하는 이용자 컴퓨터 취약성을 점검한 후, 해당 취약성을 악용해 악성코드를 이용자 컴퓨터에 다운로드해 실행케 만드는 서버상 소프트웨어 프로그램으로, 매그니튜드 익스플로잇도 그 가운데 하나로 볼 수 있다.
또한, 멀버타이징은 악성코드(Malware)와 온라인 광고(Online Advertising)의 합성어로, 합법 광고 사이트에 악성코드를 삽입해 악성코드를 유포하는 방법이다. 주로 케르베르 랜섬웨어가 악성코드를 배포하기 위해 멀버타이징 기법을 활용하는 것과 유사하다고 볼 수 있다.
SCH사이버보안연구센터는 지난 15일부터 국내 웹사이트에서 신종 ‘마이랜섬’의 출현을 탐지한 것으로 알려졌다. 이번에 발견된 ‘마이랜섬’은 2017년 6월부터 지속적으로 유포됐던 케르베르의 변종인 케르베르 인크립터(CRBR Encryptor)와 아주 유사한 특성을 보이고 있는 것으로 분석됐다. ‘마이랜섬’이 드라이브 바이 다운로드 형태로 유포되고 있고, 감염 사실을 알리는 문구인 랜섬노트와 몸값을 요구하는 알림창의 문구도 매우 유사하기 때문이다.
▲ 비트코인 지불 금액 및 방법과 파일 복호화에 대한 내용이 담겨 있는 문구[자료=SCH사이버보안연구센터]
케르베르 인크립터의 경우 자신의 이름과 특정의 확장자를 갖고 있으며, 감염되고 나면 피해자 컴퓨터에 감염 사실을 알리고 몸값을 비트코인으로 지불하라는 창을 띄운다. 몸값을 지불하면 공격자는 복호화가 가능한 케르베르 디크립터(CRBR Decryptor)를 제공하게 된다.
반면, 이번에 발견된 ‘마이랜섬’은 자신의 명백한 이름과 특정의 확장자를 갖지 않는 특성을 지닌 것으로 드러났다. 공격자는 몸값으로 ‘마이디크립터(My Decryptor)’의 구매를 피해자에게 요구한다. 이를 근거로 센터는 해당 랜섬웨어를 ‘마이랜섬(MyRansom)’으로 명명했다는 설명이다.
마이랜섬은 하드디스크, 네트워크 공유폴더, 이동식 디스크 등에 위치한 다양한 파일을 암호화한다. 특히, 마이랜섬은 다양한 공격 대상 파일을 암호화하는데, 공격 대상 파일 가운데는 아래한글(*.hwp) 파일도 포함되어 있는 것으로 분석됐다. 이로 미루어볼 때 국내 사용자들도 겨냥하고 있는 것으로 추정된다.
특히, 마이랜섬은 암호화 이후 변경되는 공격 대상 파일 확장자가 매번 다르다. 현재 센터에서 발견한 마이랜섬은 암호화 이후 파일 확장자로 “Kgpvwnr”, “ihsdj” 등을 이용하고 있다고 밝혔다. 해당 확장자는 악성코드 감염 이후 시스템의 임시폴더(%Temp)에 생성된 파일명과 동일한 것으로 분석됐다.
마이랜섬은 감염 사실을 알리기 위한 ‘READ_ME_FOR_DECRYPT_[랜덤명]_.txt’ 형태의 파일 이름을 갖는 랜섬 노트를 생성한다. 해당 랜섬 노트에는 “당신의 문서, 사진, 데이터베이스 그리고 다른 중요한 파일은 암호화되었다! (Your documents, photos, databases and other important files have been encrypted!)”라는 문구로 시작한다. 해당 랜섬 노트의 문구 대부분은 케르베르 인크립터 랜섬 노트의 ‘_HOW_TO_DECRYPT_MY_FILES_[랜덤명]_.txt’ 파일 형태와 매우 유사하다. 또한, 복구를 위한 결제 방법을 설명하는 창의 문구도 서로 유사한 모습이라는 게 센터 측의 설명이다.
▲ 랜섬코드 뒤에 반복되는 임의의 값으로 악성코드 크기 대용량으로 증가[자료=SCH사이버보안연구센터]
또한, 마이랜섬은 특정 경로에 해당 악성코드를 스스로 복제하고, 컴퓨터 운영체제 작업 스케줄러에 이를 등록해 매 15분마다 동일한 암호화 행위가 반복되도록 설계되어 있다. 이와 함께 해당 악성코드는 백신의 탐지를 우회하기 위한 방법으로, 80MB 이상의 대용량으로 자신을 변경하기 위해 랜섬웨어 코드 후단에 ‘LN8F2p’와 같은 임의의 값을 반복적으로 추가해 파일의 용량을 키우고 있는 것으로 드러났다.
통상 일부 백신 프로그램은 추가적으로 일정 크기 이상 파일 검사 설정을 해두지 않으면 기본적으로 10MB이상의 파일은 검사하지 않는 경우도 있다는 점을 노린 것이다.
더욱이 마이랜섬은 “제3의 소프트웨어로 파일을 복구하기 위한 어떤 시도도 이 파일에 치명적 영향을 준다!(Any attempts to restore your file with the third-party software will be fatal for your file!)”라는 경고 문구와 함께 감염 이후 최초 5일 동안 0.2 비트코인(한화 130만원)을 요구한다. 5일이 지나면 공격자가 몸값 금액을 2배로 높여 0.4 비트코인(한화 260만원)을 요구하는 것으로 알려졌다.
▲ 악성코드 감염 이후 외부 통신으로 키 관련 정보 전송 화면 캡처[자료=SCH사이버보안연구센터]
‘마이랜섬’은 파일 암호화 시작 단계에서 명령제어(C&C) 서버와의 통신을 통해 암호화키가 교환되는 것으로 분석됐으며, 파일 암호화가 완료된 이후에 다시 명령제어 서버와의 추가 통신을 통해 암호화 키 관련 정보가 추가로 교환되고 있는 것으로 드러났다.
센터 측이 확보한 마이랜섬 샘플은 2가지로, 이 가운데 하나의 랜섬웨어 샘플의 MD5 값은 명은 ‘77915278e634c136b05f7786731214ce’이다.
센터는 10월 15일 이후에도 지속적으로 해당 악성코드가 지속적으로 유포되는 것이 확인됐다며, 마이랜섬이 케르베르 랜섬웨어의 후신으로 향후에는 케르베르 계열의 랜섬웨어가 마이랜섬 형태로 갈아탈 가능성이 있다고 예측했다.
SCH 사이버보안연구센터 이지오 연구원은 “이번에 발견된 ‘마이랜섬’은 유포 방식을 포함하여 케르베르 인크립터와 유사한 모습이 많이 보이며, ‘마이랜섬’이 케르베르 뒤를 이어 지속적으로 유포될 것으로 예측된다”며 “랜섬웨어 특성상 완벽한 복구나 예방법은 현실적으로 없으므로 사용자의 보안 경각심이 중요하며, 시스템의 중요 파일에 대한 백업이 요구된다”고 언급했다.
또한, SCH 사이버보안연구센터 염흥열 센터장(순천향대 정보보호학과 교수)은 “향후 다양한 랜섬웨어 변종이 나타날 가능성이 크므로, 최신 버전의 백신 프로그램 설치와 운영체제 및 소프트웨어의 보안 업데이트가 매우 중요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>