사용자가 웹브라우저 주소창에 주소를 직접 입력할 때 오탈자 실수를 하는 것을 노린 랜섬웨어 사이트가 발견됐다. /사진=이미지투데이
유명 웹사이트의 주소를 잘못 입력할 경우 접속되는 사이트로 랜섬웨어를 유포하는 사례가 발견돼 사용자 주의가 요구된다.

29일 안랩에 따르면 공격자는 유명 포털과 소셜미디어 사이트의 주소를 잘못 입력하는 사용자를 겨냥해 정상 주소와 매우 유사한 주소로 웹사이트를 만들었다. 네이버(www.naver.com)의 경우 ‘wwwnaver.com’, 페이스북(www.facebook.com)의 경우 ‘facebook.cm’ 등으로 사용자 입력 실수를 노렸다.


만약 사용자가 실수로 웹브라우저 주소창에 해당 주소를 입력하면 공격자가 미리 만들어둔 웹사이트로 이동한다. 이 웹사이트는 사용자가 보기에 아무 내용도 없는 백지상태다. 하지만 사용자 PC 내 인터넷익스플로러(IE) 최신 보안패치 여부와 윈도 운영체제(OS) 버전 등 공격자가 설정한 랜섬웨어 감염 조건 확인이 진행된다.

사용자 PC가 감염이 가능한 환경일 경우에는 수차례 자동 리다이렉션(재이동)을 거쳐 랜섬웨어를 감염시키는 웹사이트로 최종적으로 이동한다. 이후 사용자가 별다른 행위를 하지 않아도 매그니베르(Magniber) 랜섬웨어에 자동으로 감염된다. 현재 안랩 V3는 행위 기반 탐지로 해당 랜섬웨어를 차단하고 있다.


피해를 막기 위해서는 ▲OS, 웹브라우저(IE·크롬·파이어폭스 등), 응용프로그램(어도비·자바 등), 오피스 프로그램 등 소프트웨어(SW) 최신 버전 및 보안 패치 적용 ▲백신 자동 업데이트 기능 사용 ▲별도 보관 장치에 중요한 데이터 백업 등 기본적인 보안 수칙 준수가 필요하다.

한명욱 안랩 분석팀 주임은 “사용자가 취약점이 있는 PC를 사용하고 있다면 사소한 오타 한 번으로도 랜섬웨어에 감염될 수 있다”며 “이를 예방하기 위해서는 평소 주기적으로 인터넷 브라우저나 윈도, 백신을 항상 최신 버전으로 유지하는 게 매우 중요하다”고 말했다.