'이력서 열람하면 공갈 협박문'..신종 악성코드 '락빗(LockBit) 3.0' 시중에 유포

한글 확장자로 된 파일 열면 기존 모든 파일 이름 바꾸고 암호화
랜섬웨어 실행되며 열리는 노트서 '파일 잃기 싫으면 돈 내놓아라' 협박

이력서 파일로 위장한 랜섬웨어. 이스트시큐리티 캡처

 
일상에서 익숙한 문구와 평범한 첨부파일로 위장한 악성코드가 최근 시중에 유포되고 있어 주의가 요구된다.

컴퓨터 백신 ‘알약’ 등을 개발한 보안 업체 이스트시큐리티(대표 정진일)는 지난 4일 사내에 게재한 공지문에서 “랜섬웨어 유포 조직이 신종 악성코드를 개발해 살포하고 있다”고 전했다.

이스트시큐리티측이 언급한 이 악성코드는 랜섬웨어 유포 조직인 ‘비너스락커’나 유사 모방 조직이 개발한 것으로 알려진 락빗(LockBit) 3.0이다.

이스트시큐리티는 “금일(4일) 기존의 락빗 2.0과 다른 3.0 버전의 존재가 확인돼 각별한 주의가 필요하다”고 밝혔다.

랜섬웨어는 몸값을 뜻하는 랜섬(ransom)과 악성 코드를 뜻하는 멀웨어(malware)의 합성어로, 유포자가 불특정 다수의 컴퓨터로 침입시켜 피해자에게 돈을 요구하며 협박하는 등의 용도로 사용되는 프로그램이다.

게재문에 따르면 지난 7월에 등장한 락빗 3.0은 기존 2.0 버전과 유사하게 전자메일 수신자가 첨부 파일을 열람하면 랜섬웨어가 컴퓨터로 투입돼 설치된다. 

첨부 파일이 한컴오피스 한글 확장명(hwp)으로 돼있는 것은 2.0 버전과 유사하나, 전자메일 제목 및 파일명이 열람을 유도하는 ‘이력서 보내드립니다’ 등의 문구로 작성된다는 것이 이번 버전의 특징이다.

락빗이 컴퓨터에 침투하면 랜섬웨어가 실행되며 사용자의 모든 파일들을 암호화한 후 파일명과 확장자를 특정 문자열로 변경한다. 이렇게 되면 사용자는 자신의 파일과 랜섬웨어 파일을 구분할 수 없게 된다.

실행된 랜섬웨어는 컴퓨터의 바탕화면을 바꾸고 랜섬노트를 생성하기도 하는데, 이 랜섬노트에는 ‘랜섬머니를 지불하지 않으면 탈취한 데이터들을 다크넷 사이트에 공개한다’고 협박하는 내용이 적혀 있다. 

랜섬웨어가 사용자의 파일을 감염시키며 생성한 협박 노트. 이스트시큐리티 캡처

 
또한 사용자가 랜섬노트에 기재된 주소로 접속하면 암호화된 파일 일부를 복호화할 수 있는 화면과 실제 락빗 3.0이 탈취한 데이터를 판매하는 페이지를 확인할 수 있어, 사용자의 불안감을 유발하고 랜섬머니를 지불하도록 유도한다고 이스트시큐리티는 설명한다.

이스트시큐리티는 “발신자가 불분명한 전자메일은 열람을 지양하고, 첨부 파일 역시 반드시 확장자를 확인해야 한다”고 당부했다. 

또한 “중요 파일들은 백업해서 랜섬웨어 감염시 피해를 최소화할 수 있도록 노력해야 한다”고 재차 강조했다.

랜섬웨어 유포자가 피해자의 혼선을 유발하기 위해 생성한 페이지. 갈취한 파일을 판매한다는 내용의 게시물이 올라와있다. 이스트시큐리티 캡처

 

정재우 온라인 뉴스 기자 wampc@segye.com