[테크리포트] 랜섬웨어 침입 경로는… 이메일 첨부파일 열면 컴퓨터에 악성코드 심어

입력 2016-08-08 10:27
  • 가장작게

  • 작게

  • 기본

  • 크게

  • 가장크게

개인용 PC나 모바일에 침입해 데이터를 인질로 삼는 랜섬웨어는 통상 이메일이나 특정 URL을 통해 악성코드를 심는다.

이메일에 첨부된 실행 파일, 압축 파일, 이미지 등을 열면 악성코드가 유입된다. 악성코드를 심어놓은 후, 중요한 문서로 위장해 첨부파일을 클릭하도록 유도하는 방식이다. 보안이 허술한 기관, 단체, 중소기업 등의 웹사이트에서 악성코드가 유포되거나 경유지로 악용되는 사례도 많다. 그러다 보니 보안이 허술한 국내 웹사이트 곳곳에서 랜섬웨어 악성코드가 포착되고 있다.

실제로 얼마전 국내에서 웹 포털에 ‘박병호 포스팅’이라는 키워드를 검색해 특정 온라인 기사 사이트에 접속할 경우, 익스플로잇 사이트(exploit site·설계상 취약점을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 사이트)로 리다이렉션 돼 랜섬웨어에 감염된 사례가 발생하기도 했다.

랜섬웨어는 다양한 기법을 활용해 전 세계적으로 빠르게 확산되고 있다. 올해 발견된 악성코드 ‘록키(Locky)’는 가장 유명한 랜섬웨어 중 하나다. 지난 2월에 발견된 록키 랜섬웨어는 감염되면 파일의 확장자에 ‘.locky’가 추가되는 것이 특징이다. 스팸 메일에 악성 매크로가 포함돼 있는 문서 파일(doc 등)을 첨부한 형태가 주를 이뤘다.

최근에는 모바일 결제 방식이 추가된 랜섬웨어 ‘록쿠(Rokku)’가 새롭게 출현했다. 록쿠 랜섬웨어는 최근 이메일에 첨부된 JS 스크립트 파일과 MS 워드 문서를 통해 감염되는 록키 랜섬웨어 코드와 유사한 것으로 파악된다.

록쿠 역시 이메일을 통해 유포된다. 악성파일이 실행되면 바탕 화면을 비롯한 다양한 폴더에 금전을 요구하는 메시지 파일 2개를 생성한다. 이후 하드디스크, 네트워크 공유 폴더에서 문서, 사진, 압축 파일 등을 찾아 ‘.rokku’ 확장명으로 변경해 파일을 암호화한다. 특히 파일 암호화 과정에서 시스템 복원 기능을 무력화하는 작업이 백그라운드로 진행돼 암호화된 파일을 복구할 수 없게 만든다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0

주요 뉴스

  • 1일부터 달라지는 청약통장…월 납입인정액 상향, 나에게 유리할까? [이슈크래커]
  • "한국엔 안 들어온다고?"…Z세대가 해외서 사오는 화장품의 정체 [솔드아웃]
  • 전남 ‘폐교’ 844곳 가장 많아...서울도 예외 아냐 [문 닫는 학교 4000곳 육박]
  • 금리 인하에 저축 보험 '눈길'…美 대선에 달러 보험 뜬다
  • "성냥갑은 매력 없다"…정비사업 디자인·설계 차별화 박차 [평범한 건 NO, 특화설계 경쟁①]
  • 단독 '부정‧부패' 의혹 장애인아이스하키협회, 상위기관 중징계 처분 뭉갰다
  • "영웅 귀환은 빛났다"…페이커의 T1, '롤드컵' 통산 5회 우승 영광
  • 단독 “북한군 1차 전멸, 우크라이나 아닌 러시아 포격 탓”
  • 오늘의 상승종목

  • 11.01 장종료

실시간 암호화폐 시세

  • 종목
  • 현재가(원)
  • 변동률
    • 비트코인
    • 96,017,000
    • -1.01%
    • 이더리움
    • 3,427,000
    • -1.72%
    • 비트코인 캐시
    • 475,200
    • -3.83%
    • 리플
    • 702
    • -1.54%
    • 솔라나
    • 226,600
    • -2.24%
    • 에이다
    • 466
    • -4.12%
    • 이오스
    • 581
    • -2.84%
    • 트론
    • 230
    • -1.29%
    • 스텔라루멘
    • 127
    • -2.31%
    • 비트코인에스브이
    • 65,750
    • -3.8%
    • 체인링크
    • 15,020
    • -3.9%
    • 샌드박스
    • 324
    • -2.99%
* 24시간 변동률 기준