이스트시큐리티는 디지털 서명 기능을 탑재한 글로브임포스터(GlobeImposter) 랜섬웨어 변종이 해외에서 유포된다고 6일 밝혔다. 이스트시큐리티는 지난달 29일과 31일에 제작된 글로브임포스터 랜섬웨어 변종 2개에서 유효한 디지털 서명을 발견했다. 파일 무결성을 보장하는 디지털 서명을 랜섬웨어에 탑재해 감염을 확산시키려는 의도다.
이스트시큐리티 관계자는 “디지털 서명은 파일 신뢰를 구분하는 최소한의 인증”이라며 “1차 필터링을 우회하고 감염을 확산하기 위한 의도로 보인다”고 말했다.
디지털 서명을 탑재한 악성코드는 흔치않다. 단 2010년 이란 핵 시설을 공격한 '스턱스넷' 악성코드 이후 종종 출현했다. 스턱스넷은 두 곳 회사 디지털 서명으로 위장해 보안제품 시험을 우회했다. 지난해 2월 PDF파일로 위장하고 디지털 서명을 포함한 랜섬웨어가 해외에서 나왔다.
이스트시큐리티는 글로브임포스터 변종이 기존 랜섬웨어와 다르게 이메일 주소를 활용해 연락을 유도한다는 점도 특이하다고 분석했다. 글로브임포스터 변종은 'i-absolutus@bigmir.net' 'oceannew_vb@protonmail.com' 두 개 이메일로 연락을 하도록 유도한다.
기존 랜섬웨어가 익명성을 기반으로 한 토르 웹사이트 주소로 접속을 유도하고 비트코인 결제를 요구하는 것과는 다른 점이다.
공격자가 랜섬웨어를 효과적으로 감염시키기 위해 고도화 작업을 지속하고 있다는 분석이다.
이스트시큐리티 관계자는 “공격자는 토르나 명령제어용 웹 사이트 등을 별도 구축하지 않아도 된다”면서 “해외 이메일 차단에 다소 시간이 소요되거나 어려움이 존재하기 때문에 이점이 있다”고 말했다.
[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com
저작권자 © PRESS9 무단전재 및 재배포 금지