"Your documents, photos, databases and other important files have been encrypted!" -당신의 문서, 사진, 데이터베이스와 기타 중요한 파일이 암호화 되었습니다!-
 
랜섬웨어에 의해 PC에서 중요한 파일 모두가 암호화 된 경우를 상상해보자. 잠시 후 '몸값'을 요구하는 메시지를 수신하고 거기에 몸값을 지불하기 전까지 암호화 된 파일은 해독되지 않는다고 써 있다.
 
"RANSOM_CERBER.A"가 나타나기 전에는 소리로 피해자에게 몸값지불을 재촉하는 랜섬웨어는 존재하지 않았다. 이 "RANSOM_CERBER.A"는 컴퓨터 합성 음성으로 메시지를 재생한다.
 
암호화된 랜섬웨어는 일반적으로 몸값 지불 방법과 파일의 복구 방법에 대한 지침을 이미지로 표시한다. 이 방법은 REVETON 변종이 떠오르게 한다. 경찰을 가장한 랜섬웨어 REVETON도 사용자의 위치에 따른 언어로 이야기할 수 있는 악성 프로그램으로 알려져 있다.

 
트렌드마이크로 조사에 따르면, CERBER는 영어만 사용한다. 그러나 사용자가 익명 통신 시스템 토르(Tor)의 브라우저를 통해 링크를 클릭하면 언어 선택 페이지로 유도된다. 그 페이지에는 다양한 언어를 선택할 수 있도록 되어 있지만, 2016년 3월 6일 시점에서는 영어만 볼 수 있다. CERBER를 조종하는 사이버 범죄자는 사용자에게 우선 1.24 비트 코인의 지불을 요구한 후 7 일 후에는 2.48 비트 코인까지 요구액을 인상한다.
 
트렌드마이크로는 또한 CERBER의 구성 파일이 확장자 .json을 이용하고 있는 것을 확인했다. 이 파일 형식은 일반적으로 속성 값에 정의 된 데이터의 전송 및 저장시 사용되는 형식이다. 구성 파일의 내용을 분석한 결과, 이 랜섬웨어는 매우 쉽게 사용자 정의가 가능하다는 것을 발견했고 공격자가 블랙리스트 국가는 물론 협박문 등을 쉽게 변경할 수 있음을 확인했다. 이는 CERBER가 금전 목적의 사이버 범죄자의 목적에 따라 설계된 것임을 나타낸다.
 
트렌드마이크로의 클라우드형 보안 기반 "Trend Micro Smart Protection Network"에 따르면, Nuclear Exploit Kit가 "Malvertisement (부정 광고)"을 이용해 이 악성 프로그램을 유포하고 있는 것으로 확인된다. "Nuclear Exploit Kit"는 악명 높은 Angler Exploit Kit에 이어 오늘 가장 널리 이용되는 것 중 하나다.
 
현재 이러한 불법 광고를 호스팅하는 서버는 모든 액세스 할 수 없다. 보도에 따르면, CERBER는 러시아 지하시장에서 "Ransomware as a service (RaaS)", 즉 서비스로서의 랜섬웨어로 판매되고 있다. 이는 위에서 언급한 Config 파일 코드에 대한 추측을 뒷받침뿐만 아니라 가까운 미래에 더 많은 CERBER의 출현을 예상할 수 있다.
 
트렌드마이크로 관계자는 “랜섬웨어 위협이 어떤 구조로 움직이는가를 아는 것은 사용자의 개인 정보나 기업의 기밀 정보를 보호하는 데 도움이 된다. 적어도 평소 정기적으로 중요한 파일을 백업해 두는 것이 좋다. 또한 중요한 점은 사이버 범죄자에 굴복해 몸값을 지불해 버리면, 당신을 지불 능력이 있는 것으로 간주해 다시 표적이 될 수도 있음을 명심해야 한다. 그리고 랜섬웨어로부터 자신을 보호하기 위해 사용하는 PC를 항상 최신 상태로 유지하는 것도 중요하다”고 조언했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com