직구족(族) 지나간 자리에 들어오는 악성코드

▲ 해외에서 온 이메일을 의심없이 열었다간 컴퓨터가 랜섬웨어에 감염될 수 있다. 사진은 랜섬웨어 감염 컴퓨터에 나타나는 화면.

해외 쇼핑몰에서 물건을 직접 구입하는 '직구족(族)'에게 랜섬웨어 주의보가 떨어졌다. 

얼마 전 블랙 프라이데이를 맞아 해외 온라인 쇼핑몰에서 옷과 가전제품을 구입했던 박지현(여·24)씨는 최근 막심한 손해를 입었다. 갑자기 컴퓨터가 랜섬웨어에 감염된 것이다. 

컴퓨터 바탕화면에는 'Your documents, photos, databases and other important files have been encrypted!(당신의 문서, 사진, 자료 등 중요 파일들은 암호화됐다)'라는 문구가 떴고 모든 파일은 '.pdf', '.jpg' 등의 확장자가 '.cerber3'로 변경됐다. 잠기지 않은 파일은 한컴오피스 확장자인 '.hwp' 파일 뿐이었다. 

박 씨는 급하게 백신 프로그램을 실행했지만 이미 랜섬웨어에 감염당한 상태에서는 아무 효과도 거둘 수 없었다. 결국 박 씨는 바탕화면 문구 아래에 적힌 웹사이트로 들어가 해커에게 돈을 주고 암호를 푸는 복호화 프로그램을 받을 수 있었다. 이 과정에서 든 비용은 대략 80만원에 달한다.

그는 "해외 쇼핑몰에서 저렴하게 구매해 즐거웠는데 결과적으로 손해를 봤다"며 "옷을 구입했던 쇼핑몰에서 할인 정보를 보낸 줄 알고 열어봤던 메일이 문제였던 것 같다"고 말했다. 

12일 IT 보안 업계에 따르면 연말연시 세일 시즌을 맞아 해외 직구를 하려는 이들을 대상으로 한 랜섬웨어가 잇따라 발견되고 있다. 물품 주문, 대금 결제 등 무역업자를 사칭해 기업에게 메일을 보내던 과거와 달리 일반 개인이 범죄 타깃이 된 것이다. 해외 유명 쇼핑몰을 사칭해 할인 정보, 신상품 안내, 배송 안내 등의 제목으로 메일을 보내고 랜섬웨어가 담긴 압축파일을 첨부하는 방식이다. 메일 본문까지 관련 내용으로 채워둬 사용자가 믿음을 가지고 첨부한 파일을 열어보도록 유도한다. 

사용자가 첨부한 파일을 열기 위해 실행시키면 랜섬웨어가 작동한다. 사용자의 컴퓨터는 랜섬웨어에 감염되며 USB, 스마트폰, 외장하드 등 해당 컴퓨터에 연결된 모든 파일이 암호화된다. 

안랩은 "첨부된 파일에 자바스크립트 '.js'파일이 존재하면 실행하지 말아야 한다"며 "연말연시 늘어난 각국의 직구족을 대상으로 다양한 랜섬웨어가 대량 유포될 수 있다"고 경고했다. 

▲ 온라인 쇼핑몰을 사칭한 메일은 해외 쇼핑 사이트에 익숙하지 않은 직구족을 쉽게 현혹시킨다. /안랩

이러한 랜섬웨어는 사전 예방 외에 뾰족한 방법이 없는 상황이다. ▲스팸성 이메일(첨부파일) 실행 자제 ▲중요 파일의 별도 백업 ▲OS 및 사용 프로그램 업데이트 ▲수상한 웹사이트 방문 자제 등의 기본 보안수칙 실천이 요구된다.

만약 랜섬웨어에 감염돼 파일이 암호화됐다면 해커에게 비트코인 등의 비용을 지불하는 편이 낫다. 스스로 파일 복호화를 시도했다가 영영 손상될 우려가 더 크기 때문이다. 

시만텍은 "최근 해커들은 기업형으로 진화하고 있다"며 "과거에는 돈을 주더라도 복호화 키를 주지 않는 경우가 많았지만 이제는 입금만 된다면 컴퓨터를 잘 모르는 피해자가 복호화를 하지 못하는 경우 직접 친절하게 방법을 설명을 해줄 정도"라고 설명했다. 위 사례의 피해자 박 씨가 해커에게 비용을 지불하기 위해 접속한 사이트도 피해자의 편의를 위해 다양한 국가별 언어를 지원했다.

한편 사물인터넷(IoT)의 보급은 이러한 사이버 공격의 확산 우려를 더욱 키우고 있다. 시만텍은 최근 발표한 2017년 10대 보안 전망을 통해 보안 위협의 심화를 경고했다. 10대 보안 전망에는 ▲클라우드 확산에 따른 모든 기기 보안의 중요성 증대 ▲커넥티드카에 대한 해킹 위협 ▲온도조절장치나 음성인식 비서 기기 등 IoT 기기에 대한 공격 증가 ▲IoT 기기에 대한 디도스 공격 증가 등이 포함됐다. 

시만텍은 "클라우드 환경 확대와 새로운 IoT 기기, 서비스의 출현으로 사이버 보안 대응 전략도 수정해야 한다"며 "몇 년 전 프린터 서버가 사이버 공격에 이용된 것처럼 IoT 기기들이 네트워크 침투 수단으로 쓰일 수 있다"고 경고했다. 또한 "구글이 최근 HTTP만 사용하는 사이트를 안전하지 않은 사이트로 표시하는 정책을 펴고 있다"며 "무료 SSL(Secure Sockets Layer) 인증서 남용이 피싱 사이트 증가로 이어질 수 있는 만큼 주의가 필요하다"고 조언했다.

▲ 시만텍은 클라우드 환경 확대와 새로운 IoT 기기의 등장으로 보안 위협이 심화될 수 있다고 주의를 당부했다. /시만텍