유명 온라인 커뮤니티 클리앙(www.clien.net) 홈페이지에서 악성코드가 유포돼 사이트 방문자 PC의 파일을 암호화하는 ‘랜섬웨어’ 공격이 발생했다.
21일 오전 11시 클리앙은 운영알림판을 통해 악성코드 유포 사실을 공지하고 대처방법을 안내했다. 클리앙에 따르면 이날 새벽 클리앙 홈페이지로부터 크립토락커 악성코드가 유포됐으며, 오전 11시까지 인터넷 익스플로러(IE)를 이용해 사이트에 접속한 사용자들이 악성코드에 감염됐을 가능성이 있다고 밝혔다.
클리앙은 공지를 통해 악성코드를 제거해 더이상 악성코드에 감염되지 않도록 하고 있다고 밝히면서 사용자 PC에 해당 악성코드가 설치됐는지 확인하고 치료할 수 있도록 패치를 배포했다. 또한 트렌드마이크로의 ‘크립토락커 리무벌 툴’을 이용해도 해당 악성코드를 제거할 수 있다고 밝혔다.
한국 사용자 타깃으로 설계된 공격 발생
이 사고는 랜섬웨어 공격으로 사용하는 크립토락커 악성코드를 ‘드라이브 바이 다운로드’ 방식으로 유포한 것으로, 웹사이트 방문만으로도 피해를 입을 수 있기 때문에 매우 위험하다. 랜섬웨어는 PC나 파일을 암호화한 후 금전을 요구하는 공격으로 몇 년 전 부터 해외에서 크게 유행했으며 지난해부터 국내에서도 피해사례가 보고되고 있다.
드라이브 바이 다운로드 공격은 사용자 단말에 악성코드를 감염시켜 공인인증서 및 금융정보와 개인정보 등을 유출하기 위해 사용됐으며, 랜섬웨어는 이메일 첨부파일이나 P2P와 같은 파일공유 프로그램을 이용해 유포됐다.
이번 사고는 웹사이트에서 직접 크립토락커 악성코드를 유포한 방식으로, 해외에서 이와 같은 공격이 나타난 바 있으며 국내에서는 처음 보고된 공격이다. 특히 이번 공격에는 한글화된 파일이 사용되고 있어 한국 사용자를 타깃으로 설계된 것으로 보인다.
문일준 빛스캔 대표이사는 “이메일을 통한 랜섬웨어는 공격 발생 빈도에 비해 실제 피해가 발생하는 비율이 높지 않았다. 그러나 드라이브 바이 다운로드는 사이트 방문자를 쉽게 감염시킬 수 있기 때문에 랜섬웨어 공격 성공률이 매우 높아질 것으로 보인다”며 “드라이브 바이 다운로드 공격이 자주 발생하는 언론사 사이트, 인터넷 커뮤니티 등을 통해 랜섬웨어 악성코드가 유포되면 수많은 피해사례가 발생할 것”이라고 말했다.
SW 최신버전 사용·중요파일 안전하게 백업해야
윤명익 한국트렌드마이크로 엔드포인트보안팀 차장은 “백신을 통해 랜섬웨어에 사용되는 크립토락커 악성코드를 탐지·제거할 수 있지만, 이미 암호화된 파일을 복호화 할 수는 없다. 암호화된 파일은 공격자가 가진 키로만 풀 수 있으며, 공격자에게 돈을 줬을 때 파일을 풀어주는 경우도 있지만 그렇지 않은 경우도 있기 때문에 사용자의 피해는 매우 심각해진다”고 설명했다.
한편 랜섬웨어 피해를 당하지 않기 위해서는 OS와 브라우저의 최신버전을 사용하고, 신뢰할 수 있는 백신을 사용하며, 플래시 플레이어, 어도비 리더 등 취약점 공격에 많이 이용되는 소프트웨어의 최신 보안패치를 적용해야 한다.
웹사이트 운영자는 자사 사이트가 공격에 이용되지 않도록 상시적인 모니터링해야 한다. 또한 이러한 공격은 빠른 대응이 무엇보다 중요하기 때문에 정부 기관이나 모니터링 서비스 사업자들이 수집한 위협정보를 공유할 수 있도록 하는 것도 중요하다.
더불어 PC·스마트폰 등 랜섬웨어 피해를 입는 단말의 정보를 수시로 백업해 두는 것도 필요하다. 이노티움의 ‘리자드 클라우드’와 같은 PC 백업 제품·서비스를 사용하거나, 이동식 저장장치·NAS·클라우드 스토리지 등 별도의 매체를 이용해 중요한 파일을 백업하는 것이 필요하다.
