동영상 다운로드 하려다 랜섬웨어까지?!

최근 유명 포털 사이트에 ‘○○○ 동영상 다운’ 또는 ‘○○○ 다운로드’라고 검색할 때 검색되어 나타나는 웹사이트들 중에 랜섬웨어를 다운로드하는 악성 웹사이트가 포함된 것이 확인되었다. 이 방식을 이용해 유포되고 있는 랜섬웨어는 갠드크랩 랜섬웨어로, 사용자로서는 검색 결과에 나타난 웹사이트들 중 어떤 것이 정상인지 또는 랜섬웨어 유포를 위한 악성 웹사이트인지 구분할 수 없기 때문에 더욱 피해가 우려된다. 

[그림 1]은 ‘동영상 다운’ 또는 ‘다운로드’ 등 불특정 단어와 ‘다운’이라는 키워드를 결합해 검색한 결과다. 

[그림 1] ‘다운’ 또는 ‘다운로드’ 검색어로 검색한 결과 페이지

만일 사용자가 [그림 1]과 같은 검색 결과 중에서 악성 웹사이트를 클릭할 경우, [그림 2]와 같이 공격자가 랜섬웨어 유포를 위해 만든 페이지가 포함된 웹사이트에 접속하게 된다. 

[그림 2] 악성 페이지가 삽입된 웹사이트

실제로 공격자는 방문자의 의심을 피하기 위해 [그림 2]와 같이 커뮤니티의 문답 형식으로 위장하고 다운로드 링크를 표시하여 클릭을 유도하고 있다. 이 다운로드 링크를 클릭하면 사용자가 찾고자 했던 파일 대신 갠드크랩 랜섬웨어가 사용자 PC에 다운로드되어 파일들을 암호화하기 시작한다. 

[그림 3] 갠드크랩 랜섬웨어에 의해 암호화된 파일

여기서 특징적인 것은 사용자가 다시 [그림 2]의 악성 웹사이트를 방문하면 이번에는 [그림 4]와 같이 정상적인 웹사이트로 연결된다. 이때 PC에 랜섬웨어가 설치되어 있지 않더라도 동일한 현상이 나타난다. 

[그림 4] 재방문 시 나타나는 정상 웹사이트

랜섬웨어 등 악성코드를 제작, 유포하는 공격자들은 성공률을 높이기 위해 지속적으로 다양한 방법을 이용하고 있다. 특히 이번 사례와 같이 사용자들이 포털 사이트에서 ‘다운로드’ 등의 검색어를 자주 이용한다는 점을 노리는 등 사용자 동향을 끊임없이 살피고, 그에 따라 맞춤형 공격 방식을 개발하고 있다. 

이처럼 지속적으로 진화하는 공격으로부터 피해를 최소화하기 위해서는 평소 기본적인 보안 수칙을 준수하는 등 사용자의 노력이 반드시 필요하다. 특히 유틸리티 프로그램 등을 다운로드 할 때는 소프트웨어 제조사의 공식 홈페이지를 이용하고, 다운로드한 파일은 열거나 실행하기 전에 반드시 백신 프로그램으로 검사하는 습관을 들이는 것이 좋다. 이때 백신 프로그램의 엔진이 항상 최신 버전으로 업데이트 될 수 있도록 설정해 두는 것은 두말할 필요도 없겠다.