이력서 등으로 위장한 갠드크랩 랜섬웨어에 이어 가짜 도메인을 통해 유포되는 크립트온 랜섬웨어까지 기승을 부린다. 크립트온 랜섬웨어는 암호화한 파일을 두고 해커가 직접 몸값 협상을 벌이는 등 대담성까지 보인다.

16일 보안업계에 따르면 최근 크립트온(CryptON) 랜섬웨어 변종이 국내서 발견돼 주의가 요구된다. 크립트온 랜섬웨어 변종형태는 11일 해외에서 처음 발견 된 후 국내에는 15일 첫 피해사례가 접수됐다.

크립트온 랜섬웨어는 구글 지메일 계정(account-gmail.net)으로 위장한 도메인 등 웹 사이트 취약점을 통해 유포된다. 현재 국내서 발견된 지메일 계정을 도용한 웹사이트는 차단됐다.

크립트온 랜섬웨어 감염 시 'appdata' 폴더 아래 '사용자 계정' 이름으로 폴더를 만든다. 이후 '사용자계정_Body.exe' 이름의 악성코드를 생성한다.

공격자는 파일을 원래상태로 되돌리기 위해 복호화 툴 구매를 요구하며 이메일, 채팅 등이 가능한 접속 주소로 안내한다. 이스트시큐리티 관계자는 “실제 안내에 따라 채팅 시도 시 500달러 상당 이더리움 암호화폐를 요구하며 흥정도 가능하다”면서 “채팅에서 문의한 뒤 한참이 지난 후 답변이 오는 등 자동화가 아닌 사람이 직접 입력하는 것으로 보인다”고 설명했다.

최근 해커는 대상자를 분석해 이력서로 위장하거나 교통범칙금, 이미지 도용 항의메일 등 다양한 형태로 랜섬웨어 공격을 가한다. 올해 초 기승을 부린 매그니버 랜섬웨어 복호화 툴이 공개되자 복호화가 어려운 변종 형태 갠드크랩, 크립트온 랜섬웨어까지 공격방법도 다양해졌다.

게다가 이들 공격자는 대쉬(DASH), 비트코인, 이더리움 등 암호화폐를 몸값으로 요구해 자금 추적도 사실상 어렵다. 최근 이스트시큐리티 발표에 따르면 공개용 알약이 '랜섬웨어 행위기반 사전 차단 기능'을 통해 집계한 랜섬웨어 공격은 1분기에만 33만건을 돌파했다. 월 평균 11만 347건으로 하루 3678건에 달하는 공격이 발생한 셈이다.

체크멀 관계자는 “크립트온 랜섬웨어는 지난해부터 다양한 이름으로 유포됐으며 최근 복호화가 어려운 변종 형태로 유포된다”면서 “갠드크랩 등과 달리 한국어 등을 사용하지 않는 등 특정 국가를 타깃 삼지 않는 무차별 공격으로 사용자 주의가 요구된다”고 말했다.

정영일기자 jung01@etnews.com