랜섬웨어 ‘로키로커’ 국내 유포…“블랙빗과 유사”

ⓒ게티이미지뱅크

랜섬웨어 로키로커(LokiLocker)가 국내 유포되고 있어 주의가 요구된다. 로키로커는 마이크로소프트 윈도 NT(Windows NT) 호스트 프로세스인 ‘svchost.exe’로 위장한 블랙빗(BlackBit)과 유사성을 갖는 것이 특징이다.

안랩 시큐리티대응센터(ASEC) 분석팀에 따르면 로키로커는 ‘svchost.exe’로 위장해 유포되고 있다. svchost.exe은 마이크로소프트 윈도 NT에서 백그라운드 서비스를 처리하기 위한 포괄적인 호스트 프로세스다.

랜섬웨어는 몸값을 의미하는 랜섬(Ransom)과 소프트웨어(Software)를 의미하는 웨어(Ware)를 합성해 만든 단어다. 해킹 등 사이버 공격으로 파일이나 시스템을 먹통으로 만든 후 이를 해제해주는 조건으로 돈을 요구하는 공격을 일컫는다.

랜섬웨어는 일종의 범죄산업이 될 만큼 위협이 커지고 있다. 과학기술정보통신부에 따르면 한국인터넷진흥원(KISA)에 접수된 랜섬웨어 피해 신고 건수는 2018년 22건에서 지난해 325건으로 4년 만에 14배 수준으로 급증했다. 개인은 물론 기업, 기관의 주의가 필요한 이유다.

랜섬웨어 로키로커(LokiLocker)와 블랙빗(BlackBit)은 마이크로소프트 윈도 NT(Windows NT) 호스트 프로세스인 ‘svchost.exe’로 위장했다. (안랩 제공)

안랩 ASEC 분석팀이 이번에 국내 유포를 확인한 로키로커는 svchost.exe 위장을 비롯해 △난독화 도구 △작업스케줄러 및 레지스트리 등록 △랜섬노트 및 암호화 후 변경되는 파일 아이콘 이미지 등에서 블랙빗과 사성을 띠고 있다. 앞서 ASEC분석팀은 블랙빗이 지난해 9월부터 국내 유포되고 있다고 주의를 준 바 있다.

로키로커는 분석을 방해하기 위해 닷넷 리액터를 활용해 코드 난독화가 돼 있다.안랩 ASEC 분석팀은 언패킹한 블랙빗을 보면 로키로커 랜섬에서 파생된 악성코드라는 점을 확인할 수 있다고 설명했다.

행위적 측면에서도 유사성이 드러난다. 로키로커는 암호화 이전에 ‘Loki’로 작업 스케줄러 및 레지스트리 등록을 수행한다. 또 암호화 행위 이전에 랜섬노트를 생성하는 게 특징이다. 이후 복구 방지를 위한 볼륨쉐도우 삭제 및 정보 유출과 탐지 방해를 위한 행위를 수행한다.

최종 감염 시 로키로커는 각 감염 경로 폴더에 ‘Restore-My-Files.txt’ 랜섬노트를 생성한다. 확인되는 랜섬노트와 감염 파일의 아이콘 역시 블랙빗과 굉장히 유사하다.

안랩 ASEC 분석팀은 “랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 한다”면서 “의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다”고 말했다.

조재학 기자 2jh@etnews.com