2024.03.29 (금)

  • 흐림동두천 1.0℃
  • 흐림강릉 1.3℃
  • 서울 3.2℃
  • 대전 3.3℃
  • 대구 6.8℃
  • 울산 6.6℃
  • 광주 8.3℃
  • 부산 7.7℃
  • 흐림고창 6.7℃
  • 흐림제주 10.7℃
  • 흐림강화 2.2℃
  • 흐림보은 3.2℃
  • 흐림금산 4.4℃
  • 흐림강진군 8.7℃
  • 흐림경주시 6.7℃
  • 흐림거제 8.0℃
기상청 제공
상세검색
닫기

문화 넓게 보기

사용자 정보 빼내가고 몸값 요구하고

슬기로운 컴퓨터ㆍ손말틀(휴대전화) 쓰기를 위한 귀띔

[우리문화신문=이한영 기자]  최근 사용자의 민감한 정보를 빼내가는 것은 물론 몸값을 요구하는 악성 프로그램 ‘랜섬웨워’를 감염시키는 악성코드가 확인됐다. 인터넷 익스플로러(Internet Explorer, 이하 IE) 취약점과 인터넷 광고를 이용하는 ‘비다르(Vidar) 악성코드’로, 사용자들의 각별한 주의가 필요하다.

 

 

 

[그림 1]은 비다르 악성코드의 감염 과정이다. 보안 프로그램을 최신으로 업데이트 하지 않은 취약한 버전의 익스플로러 브라우저를 이용 중인 사용자가 인터넷 광고를 보기만 해도 감염될 수 있다.

 

비다르 악성코드는 기존의 랜섬웨어 감염 방식과 달리 사용자의 민감한 정보를 먼저 빼내간다는 점이 특징이다. 이때 감염 컴퓨터의 하드웨어 정보와 프로세스 정보, 네트워크 연결 정보, 운영체제 정보뿐만 아니라 [그림 2]와 같이 컴퓨터에서 사용하는 웹 브라우저, 접속한 누리집(웹 사이트) 정보, 누리편지(이메일) 계정, 비밀번호 등의 정보를 수집한다. 이렇게 수집한 정보를 파일로 만든 뒤 다시 압축파일 형태로 공격자에게 보낸다.

 

비다르 악성코드는 사용자 정보를 전송한 뒤 특정한 누리집(URL)에 접속해 갠드크랩 랜섬웨어를 내려받는다. 이렇게 랜섬웨어에 감염된 갠드크랩 랜섬웨어의 바탕화면은 [그림 3]과 같은 화면으로 변경된다.

 

 

 

 

바탕화면이 변경됨과 동시에 감염 컴퓨터의 파일들이 암호화되고 파일의 확장자명이 임의의 문자열로 변경된다. 이어 [그림 4]와 같이 암호화된 파일의 복호화(암호화된 데이터를 해당 암호계의 키를 사용하여 원래대로 복원시키는 것)에 대한 대가를 요구하는 랜섬노트가 화면에 나타난다.

 

V3 제품군에서는 관련 악성코드를 다음과 같은 진단명으로 탐지하고 있다.

 

<V3 제품군 진단명>

Malware/Win32.Possible_hpgen

Malware/Win32.Generic

 

사용자의 민감한 정보를 빼내가는 것에 그치지 않고 랜섬웨어까지 감염시키는 비다르 악성코드는 업데이트를 적용하지 않아 보안에 취약한 응용 프로그램을 사용하는 시스템을 공격 대상으로 삼고 있다. 비다르 악성코드가 탈취한 정보에는 사용자 계정과 비밀번호처럼 민감한 정보를 포함하고 있어 추가 피해가 발생할 우려도 있다. 또 랜섬웨어에 감염된 사용자가 돈을 지불하더라도 암호화된 파일이 복구되지 않는 경우도 있다는 점도 문제다.

 

따라서 피해를 예방하기 위해서는 평소 운영체제와 주로 사용하는 응용 프로그램의 보안 패치를 해 악성코드가 노리는 취약점을 줄여야야 한다. 또 사용 중인 백신프로그램 엔진 버전을 항상 최신 상태로 유지하고 실시간 검사 기능을 활성화해두는 것이 바람직하다. 또 잘 모르는 사람한테서 온 누리편지는 함부로 열어보지 않는 것이 중요하다.

 

                                                              AhnLab ASEC대응팀 제공