- ‘한진택배 배송관련 안내(배송팀 김지훈)’이란 제목
-“택배사칭 랜섬웨어 이메일 링크 절대 클릭마세요"
-해커와 복구업체 공생관계...복구비용 결국 해커 손에
[SR(에스알)타임스 최헌규 기자] 랜섬웨어 공격이 다시 기승이다. 랜섬웨어는 걸리지 않는 것이 최선이다. 랜섬웨어 공격으로 컴퓨터 자료를 날리게 되면 해커든, 복구업체든 반드시 비용을 들여야 자료를 살릴 수 있기 때문이다.
문제는 랜섬웨어 공격자가 요구하는 비용이나 복구업체의 복구비용이나 피해자들에겐 부담스럽긴 마찬가지라는 점이다.
보안업계에서는 일반적으로 복구업체가 복구 기술이 아닌 랜섬웨어 공격자와 피해자와의 일종의 브로커 역할을 통해 자료를 복구한다고 보고 있다. 이 과정에서 복구업체는 할인 된 비용을 공격자에게 지불해 수익을 올린다. 일종의 공생관계가 형성된 셈이다.
현 시점에서 기승을 부리는 랜섬웨어로 ‘갠드크랩(GandCrab)’이 있다. 갠드크랩은 한진택배를 사칭한 이메일을 통해 무차별 유포되고 있어 더욱 세심한 주의가 필요하다.(하단 기사 참고)
택배 사용이 일상화 된 점을 파고들어 무의식적으로 랜섬웨어 파일을 클릭하도록 유도한다. 링크 된 파일을 실행시키면 PC 내 파일을 모두 암호화해 사용할 수 없게 만든 후 복구 대가를 요구한다.
택배 이메일 전에는 유명 채용 사이트에 채용 공고를 올린 회사들의 입사지원서를 위장한 이메일을 집중적으로 발송했다.
저작권 위반과 교통범칙금 등 이메일 사칭범위도 보이스피싱 만큼 교묘해져 무의식적인 클릭을 유도한다.
이들이 데이터 복구 대가로 요구하는 비용은 60만원에서 최고 200만원에 달한다. 시간이 지날수록 요구액은 늘어난다.
피해자가 해커와의 거래대신 자료를 살리기 위해 복구업체를 찾지만 자체적으로 데이터를 복구해주는 업체는 거의 없다는 게 보안업계의 설명이다. 해커에게 암호화 된 파일을 풀 키(key)를 받아 복구해준다는 것.
이렇듯 랜섬웨어에 일단 감염되면 해커에게 돈을 주지 않고는 복구가 힘든 만큼 전문가들은 예방이 최선이라고 강조한다.
랜섬웨어에 감염되지 않도록 사전 예방 차원에서 백신과 OS, SW 프로그램 등을 최신버전으로 업데이트해 유지하는 것이 바람직하다.
한국인터넷진흥원은 대응방안으로 △윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용 △신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사 진행 △불필요한 공유폴더 연결 해제 △출처가 불분명한 메일 또는 링크의 실행 주의 △파일 공유사이트 등에서의 파일 다운로드 및 실행 주의 △중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하여 관리 △이상 징후 포착 및 침해사고 발생 시 한국인터넷진흥원 인터넷침해대응센터(KISC) 즉시 신고 등을 당부했다.
▶ 한진택배, CJ대한통운 사칭 링크 절대 클릭하지 말아야
보안업계에서는 한진택배를 사칭하고 있는 갠드크랩 공격자가 스마트폰을 노린 스미싱부터 악성메일까지 다양한 채널을 이용해 랜섬웨어 감염을 확산시키고 있다고 보고 있다.
유포되고 있는 한진택배 사칭 악성메일에는 ‘한진택배 배송관련 안내(배송팀 김지훈)’이란 제목으로 ‘배송장(한진택배)’ 파일명으로 .egg 확장자의 압축파일을 첨부 하고 있다.
이 메일은 “고객님의 물품이 5월 11일 저희 한진택배 사무실에 배송완료됐다”며 “전화번호와 주소가 잘못 기재돼 배송직원이 직접 전달할 수 없다. 물품을 받기 위해선 첨부파일의 영수증과 배송장을 출력해야 한다”며 첨부파일을 열어보도록 유도하고 있다.
스미싱의 경우는 CJ대한통운을 사칭해서도 유포되고 있다. 발견된 스미싱 원문은 “CJ대한통운 상품 배송불가(도로명불일치)주소지를 확인하라”며 이용자가 링크를 클릭하도록 유도한다.
이런 메일에 걸린 링크는 절대 클릭하지 말아야 랜섬웨어 감염이나 스미싱을 피할 수 있다.