2020-02-23 10:25 (일)
국내에서 제작한 카카오톡 위장 랜섬웨어 확인돼...주의
상태바
국내에서 제작한 카카오톡 위장 랜섬웨어 확인돼...주의
  • 길민권 기자
  • 승인 2016.08.21 14:52
이 기사를 공유합니다

“국내에서 제작되었다는 확실한 증거 확인…추후 피해 확산 우려”

한국인이 랜섬웨어(Ransomware) 유포에 참여한다는 정보는 간접적으로 들었지만 직접 제작까지 한 사례는 정식으로 확인된 적이 없었다. 하지만 8월 20일 보안블로거 ‘울지않는 벌새’ 측은 블로그에 ‘한국인이 제작한 카카오톡 위장 랜섬웨어 소식’을 포스팅하며 상세한 내용을 포스팅했다.

해당 블로그에 따르면, 2016년 8월 16일경 국내에서 제작되어 해외 보안 감시망에 노출된 일명 ‘Korean 랜섬웨어(Ransomware)’에 대한 정보가 확인되었다고 밝혔다.

하지만 해당 랜섬웨어가 실제 악의적으로 유포되어 피해를 유발했는지 확인되지 않고 있으며, 내부적으로 테스트 목적으로 제작되었을 가능성이 높아 보인다고 블로그는 전했다.

SHA-1 : ab5dc6e44029dc56d0dd95b75c3db901b7fe629a 

- Microsoft : Ransom:MSIL/Ryzerlo.A

SHA-1 : f7a78789197db011b55f53b30d533eb4297d03cd 

- Trend Micro : Ransom_KAOTEAR.A

상세 내용을 살펴보면 다음과 같다.

해당 랜섬웨어는 카카오톡(KakaoTalk) 파일 아이콘 모양을 하고 있으며 2016년 8월 16일 제작 및 내부 테스트를 거쳐 ASD 클라우드에서는 8월 17일 오전 3~4시경에 수집된 것으로 보인다.

Hidden-Tear 오픈 소스 기반으로 제작된 Korean 랜섬웨어는 바탕 화면 영역에 존재하는 ".asp, .aspx, .csv, .doc, .docx, .html, .hwp, .jpg, .mdb, .odt, .pdf, .php, 

.png, .ppt, .pptx, .psd, .sql, .txt, .xls, .xlsx, .xml" 파일 확장명에 대해 AES 암호화 알고리즘을 통해 암호화를 진행하도록 제작되어 있다.

암호화가 이루어진 파일은 "(원본 파일명).(원본 확장명).암호화됨" 패턴으로 확장명이 변경된 것을 확인할 수 있다.

또한 파일 암호화 완료 후 바탕 화면에 ReadMe.txt 랜섬웨어 결제 안내 파일을 생성해 "당신의 파일이 암호화 되었습니다." 메시지를 표시한다.

화면 상으로는 카카오톡(KakaoTalk) 로고 및 메신저에서 사용하는 이모티콘이 포함된 창을 생성해 "당신의 파일이 암호화 되었습니다." 메시지를 표시한다.

안내에 따라 토르 브라우저를 이용해 암호 해독 서비스에 접속해보면 CrypMIC 랜섬웨어와 매우 유사한 디자인을 한 페이지로 연결되는 것을 알 수 있다.

Korean 랜섬웨어 대응 방법에 대해서는 “암호화됨 파일 확장명으로 암호화를 시도하는 Korean 랜섬웨어 행위는 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위 차단(제거) 및 일부 훼손된 파일에 대해 자동으로 복원되는 것을 확인할 수 있었다”며 “해당 랜섬웨어 자체는 실제 유포를 통해 상당한 피해를 유발한 것으로는 보이지는 않지만 국내에서 제작되었다는 확실한 증거가 확인되고 있다”고 설명했다.

더불어 “추후 오픈 소스로 공개된 EDA2, Hidden-Tear 랜섬웨어를 기반으로 한 변종 랜섬웨어를 제작해 금전 수익 목적으로 운영될 수도 있다는 점에서 각별한 주의가 요구된다”고 덧붙였다.

★정보보안 & IT 대표 미디어 데일리시큐!★