최근 국내에 랜섬웨어가 무차별 확산 중인 가운데 최근 파일관리 프로그램으로 위장한 랜섬웨어가 유포 중인 것으로 파악됐다.
21일 보안업계에 따르면 최근 ‘다르마’라는 이름의 랜섬웨어가 파일 관리 유틸리티 프로그램으로 위장해 유포됐다고 밝혔다.
다르마 랜섬웨어는 파일생성 일시와 속성 등을 변경·관리하기 위한 특정 외산 프로그램으로 위장해 이메일과 파일공유 사이트(P2P) 등에서 확산 중이다. 이번에 발견된 사례는 랜섬웨어 파일이 정상 프로그램 파일과 매우 유사하게 제작돼 구분하기 어렵다.
감염된 PC의 파일은 암호화되며 사용자 PC에 설정된 윈도우 시스템 복원지점을 삭제해 복구를 어렵게 만든다. 이후 파일 복구 대가로 비트코인을 요구하는 랜섬노트가 등장하며 가격 흥정을 시도한다.
박태환 안랩 ASEC대응 팀장은 “공격자들은 보안업데이트가 미비하거나 파일 다운로드 시 비 정상 경로를 이용하는 등 부주의한 사용자를 노린다”며 “순간의 부주의가 큰 피해로 이어질 수 있으므로 평소 기본 보안 수칙을 실천하는 보안 생활화가 필수”라고 말했다.
한편 지난 15일부터 국내에 갠드크랩 랜섬웨어 5.0.4버전도 확산 중이다. 이번 갠드크랩 랜섬웨어는 국내에서 가장 활발하게 유포 중인 랜섬웨어 가운데 하나로 이번에 발견된 5.0.4 버전은 기업에서 많이 사용하는 마이크로소프트(MS) 워드의 매크로 기능을 악용해 공격을 시도하는 것으로 알려졌다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>