국내 동영상 공유 사이트에서 드라마를 보도록 유도해 랜섬웨어를 감염시키는 사례가 나타나 주의가 요구되고 있다.

24일 정부 관계자들에 따르면, 최근 A 지자체가 유관기관 등에 직원의 랜섬웨어에 감염사례를 전파하고 주의를 당부했다.

A 지자체가 배포한 ‘사이버침해사고 사례 전파 및 재발 방지 대책 보고서’에 따르면, 이 달 초 지방 공무원이 토요일 당직근무 중 드라마를 시청하기 위해 국내 동영상 공유 사이트를 방문했다. 그는 드라마 ‘힘쎈여자 도봉순’을 보기 위해 게시물의 동영상 링크를 클릭했다.

동영상을 시청하던 중 광고창이 뜨면서 랜섬웨어 감염 시도가 있었다. 백신 소프트웨어(SW)가 이상행위를 탐지했지만 암호화가 계속 진행돼 PC 내 모든 파일을 사용할 수 없게 됐다. 이후 바탕화면이 변경되고 해커들이 비트코인을 요구했다.

A 지자체 전산팀과 보안업체 등에서 이를 분석한 결과, 변종 '케르베르(Cerber)' 랜섬웨어인 것으로 나타났다. 케르베르는 대표적인 랜섬웨어 악성코드의 하나로, 한국인터넷진흥원(KISA)에 따르면, 지난해 하반기 확인된 랜섬웨어의 52%가 케르베르였다.

그런데 이번에 발견된 변종 악성코드는 백신 SW가 암호화 등 이상 징후를 탐지할 경우 암호화를 멈춘 후 다른 동영상을 보도록 시도하는 등 PC 성능 과부하를 초래하는 것으로 알려졌다. PC 성능을 저하시켜 백신 SW 무력화를 유도한 후 다시 암호화를 하는 방식이다.

보고서는 “바이러스 백신이 어느 정도는 차단이 가능하지만 지속적으로 동작하는 경우 동영상의 트래픽과 바이러스 백신 프로세스의 메모리 점유가 증가해 PC 성능 저하가 발생하고, 백신보다 가벼운 랜섬웨어가 동작해 암호화가 진행하는 것으로 추정된다”고 밝혔다.

이번 사례에서 해커는 탐지를 회피하기 위한 다양한 수법을 사용했다. 동영상 공유 사이트 자체는 안전한 사이트였기 때문에 보안 SW의 탐지를 회피했다. 또 문제가 된 영상 링크도 여러 단계를 거쳐 접속하도록 해 악성코드 탐지를 어렵게 했다.

해커는 영상 링크를 클릭하도록 한 후 팝업창에서 SWF(그래픽 파일)을 실행한 후 윈도 운영체제(OS)의 자동화 도구인 '파워쉘'을 작동시켜 악성파일을 다운로드 받도록 했다. 악성파일 역시 A파일이 B파일을 설치하도록 하고 다시 B파일이 C파일을 설치시키는 복잡한 방식이 사용됐다. 이는 최대한 백신 SW 탐지를 회피하기 위한 조치로 풀이된다.

[테크M = 강진규 기자(viper@techm.kr)]