추석연휴 한국에서 다수 발견된 ‘올크라이(AllCry)’ 랜섬웨어가 소강 국면에 돌입했다. 하지만, 변종 출현 가능성이 있기 때문에 긴장을 늦출 수 없는 상황이다. 

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 지난달 26일부터 올크라이(AllCry) 랜섬웨어가 국내에 전파됐다. 한국의 특정 웹하드 설치 프로그램, 잠재적으로 불필요한 프로그램(PUP) 등을 변조해 사용자 몰래 유포된 것으로 조사됐다. 

영어·중국어뿐 아니라 한국어를 제공하는 점, 명령제어(C&C) 서버를 한국에 둔 점, 피해도 국내에서만 발생된 것을 살펴봤을 때 추석연휴 기간 한국을 겨냥한 것으로 보인다. 

다행히, 이스트시큐리티가 이를 최초 발견 후 한국인터넷진흥원(KISA)과 상황을 공조한 후 현재 올크라이 랜섬웨어는 활동을 멈췄다. 

랜섬웨어 감염 때 해킹된 것으로 추정되는 국내 특정 사이트로 감염자 아이디값을 전송하고 해당 사이트에서 응답을 받은 후부터 암호화 작업을 시작하게 된다. KISA는 해당 웹사이트 접속을 차단, 더 이상 랜섬웨어가 암호화 활동을 하지 못하게 조치시켰다. 다만, 변종이 출현할 경우를 대비해 주의를 기울여야 한다.

올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작돼 있으며, 분석 및 탐지 회피 등을 위해 ‘.NET Reactor’ 코드 프로텍터로 패킹(Packing)됐다. 해당 웹하드 프로그램 서비스를 이용하고 있거나 불필요한 제휴·스폰서 프로그램이 설치됐다면 올크라이 랜섬웨어에 노출될 위험이 있다. 

내부에 난독화돼 숨겨진 코드를 분리하면 실제 닷넷 기반으로 만들어진 파일을 추출할 수 있게 된다. 코드 내부에는 원본(allcrys.exe) 모듈명도 포함돼 있기도 하지만, 파일 속성값에는 저작권이 마이크로소프트로 위장돼 있고 ‘allcyrs’ 이름으로 잘못된 오타도 있다.

랜섬웨어가 작동되면 해킹된 것으로 추정되는 한국의 특정 웹서버로 감염자의 하드웨어 코드를 전송하고 응답을 대기하게 된다. 응답이 정상적으로 수신되면 그때부터 암호화 작업이 시작된다. 현재는 통신 접속을 차단해 정상적으로 암호화를 진행할 수 없다.

감염활동이 정상적으로 진행되면 윈도 운영체제 드라이브(C:) 최상위 경로에 ‘allcry.exe’ 이름의 다국어 지원 랜섬화면 파일을 생성한다. 또, 레지스트리를 조작해 ‘.allcry’ 확장자로 암호화된 파일을 실행 때 ‘allcry.exe’ 파일이 실행되도록 조작한다.

올크라이 랜섬웨어는 ‘.hwp’ 문서 파일 뿐만 아니라 일부 암호화 대상 경로가 아닌 ‘.exe’ 실행 파일들 역시 암호화가 되어 정상적인 프로그램 사용에 어려움이 발생할 수 있다. 

이는 기존의 랜섬웨어와 차별화되는 부분이다. 보통의 경우, 사진·문서·동영상 등의 파일을 암호화해 사용자가 몸값을 지불하도록 협박하는데 올크라이 랜섬웨어는 당장 사용해야 하는 응용프로그램까지 암호화시키기 때문이다. 

문종현 이스트시큐리티 이사는 “개인은 사진·동영상 파일을, 회사는 문서를 중요하게 생각하는데 이를 암호화시켜 끈질기게 비트코인을 요구하는데 올크라이 랜섬웨어는 응용프로그램을 암호화시켜 급하게 쓰는 프로그램을 실행시키지 못하게 한다”며 “이 경우, 사용자는 몸값 지불을 포기하고 포맷부터 할 가능성이 높기 때문에 단순한 랜섬웨어 범죄를 넘어 사이버테러쪽도 의심할 수 있다”고 말했다. 

랜섬웨어에 감염되면 바탕화면에 ‘readme.txt’ 랜섬노트 파일을 생성하고 내부에는 영문으로 0.2 비트코인 지불을 요구한다. 올크라이 랜섬웨어 제작자는 이스라엘과 나이지리아의 이메일 주소를 사용한다. 일부 오타가 포함된 한글 메시지와 감염 식별용 하드웨어 코드(ID), 해커의 이메일주소, 비트코인 지갑주소 등을 안내한다.

문 이사는 “이스트시큐리티는 KISA와 공조해 신속하게 올크라이 랜섬웨어를 차단, 현재 소강상태에 접어들었으나 다시 변종을 통해 활동할 수 있기 때문에 예의주시하고 있다”며 “이용자들은 백신 프로그램을 업데이트하는 등의 노력을 기울여야 한다”고 전했다. 

---

서버 운영하시는 분들 조심해야 할 것 같아요...