공인인증서, 웹서핑 활동 내역 등 가져가고 1비트코인 요구

[보안뉴스 원병철 기자] 2017년 전망보고서에서 늘 손꼽히던 문제아 ‘랜섬웨어’가 새로운 방식의 공격방법을 들고 등장했다. 보안전문기업 하우리(대표 김희천)는 최근 보안 채팅 프로그램으로 위장해 공인인증서를 탈취하고, 금전을 요구하는 랜섬웨어가 유포되어 사용자들의 주의가 요구된다고 밝혔다.



이번에 발견된 랜섬웨어는 보안 채팅 프로그램으로 위장해 유포됐다. 사용자가 보안 채팅 프로그램을 실행할 경우, PC에 있는 각종 정보들을 수집한다. 수집하는 정보 중에는 웹 브라우저 히스토리 정보가 포함되어 있어 사용자의 웹 서핑 활동 내역을 감시할 수 있다.

또한, 공인인증서를 비롯해 사용자 PC에 위치한 각종 인증서 파일들을 수집한다. 이렇게 수집한 정보들은 압축하며, 최종적으로 압축된 파일은 다시 암호화해 해커가 지정해놓은 웹 기반 소스코드 저장소인 ‘깃허브(GitHub)’ 웹 서버로 업로드해 탈취한다.


▲ 해당 랜섬웨어가 탈취해가는 공인인증서 파일

특히, 해당 랜섬웨어는 자기 자신을 시작프로그램에 등록, PC를 재부팅해도 계속 실행되어 정보를 가져가도록 설계되어 있다. 랜섬웨어에 감염된 “우리는 당신의 컴퓨터로부터 정보들을 이미 가져갔으니, 이를 멈추기 위해서는 비트코인을 지불하라”라는 메시지를 남기며, 특정 비트코인 지갑 주소로 1비트코인(한화 약 120만원)을 지불하라고 요구한다.

하우리 관계자는 “해당 랜섬웨어가 비록 새로운 형식은 아니지만, 암호화를 안하고 정보만 탈취한다는 점에서 새롭다고 할 수 있다”면서 “어떤 정보를 가져가는 지 모른다는 점과 계속 탈취한다는 점에서 특히 기업 입장에서는 불안함에 빠질 수밖에 없다”고 설명했다.

하우리 CERT실은 “이번에 발견된 랜섬웨어는 파일들을 암호화하지 않고 탈취하고 금전을 요구하는 랜섬웨어”라며, “항상 백신 프로그램을 최신으로 유지해야 최신 랜섬웨어를 예방할 수 있다”고 밝혔다.

하우리 바이로봇에서는 해당 랜섬웨어를 “Trojan.Win32.Infostealer”의 진단명으로 탐지 및 치료가 가능하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>