[데이터넷] ‘코로나’라는 이름이 포함된 랜섬웨어가 등장했다. 이스트시큐리티 시큐리티대응센터(ESRC)는 이번 1분기에 새롭게 발견됐거나 주목해야 할 랜섬웨어 중 ‘코로나 랜섬웨어(Corona Ransomware)’와 ‘차이니즈BAT(ChineseBAT)’가 있다고 소개했다.

코로나 랜섬웨어는 ‘하크빗(Hakbit)’ 변종으로, 코로나19 이슈를 노리고, 이름을 변경한 것이다. 사용자 PC를 감염시킨 후 보여주는 랜섬노트에 디코더(decoder)명이 ‘Corona decryption’이라 명명되어 있으며, 랜섬노트 최하단에 ‘Corona ransomware’라고 명시돼 있따.

차이니즈BAT는 ‘우한 차이나(Wuhan China)’라는 키워드가 포함된 엑셀파일로 위장해 유포된다. 사용자 파일을 암호화하지만, 다수의 파일이 암호화되지 않고 삭제된다.

‘MBRlock’ 변종도 랜섬노트에 ‘CORONAVIRUS is there’라는 키워드가 포함되는데, 파일 암호화 후 PC 재부팅을 시도하지만 부팅이 불가하다.

한편 ESRC는 1분기 백신 프로그램 ‘알약’을 통해 1분기 18만5105건의 랜섬웨어 공격을 차단했다고 7일 밝혔다. 이는 매일 평균 2057건이 차단된 셈이다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격 수는 더욱 많을 것으로 추정된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 1분기 주요 랜섬웨어 동향으로 ▲‘코로나19 바이러스’ 키워드를 활용한 랜섬웨어 급증 ▲‘소디노키비(Sodinokibi)’와 ‘넴티(Nemty)’ 랜섬웨어의 건재를 꼽았다.

이번 1분기에 유포된 랜섬웨어 중 기존 랜섬웨어의 변종 형태로, 이름을 ‘코로나 바이러스’로 변경하거나 랜섬노트 내에 '코로나' 키워드를 언급하는 케이스들이 다수 발견됐다. 소디노키비와 넴티는 여전히 지속적으로 유포되고 있으며, 코로나 이슈와 재택근무 증가세에도 지난 분기 대비 크게 증가하지는 않았다.

ESRC 센터장인 문종현 이사는 “코로나19 바이러스가 전세계적으로 이슈가 되고 있는 현재 상황에서는 코로나19 키워드를 악용한 랜섬웨어가 지속적으로 발생할 것으로 예상된다”며 “소디노키비와 넴티 랜섬웨어 역시 건재한 상황인 만큼, 랜섬웨어 피해 예방을 위해 이메일 열람 시 사용자의 각별한 주의가 필요하다”고 당부했다.

김선애 기자 다른기사 보기