[CCTV뉴스=최형주 기자] 안랩이 이력서로 위장한 랜섬웨어 공격 피싱메일 사례를 발견해 주의를 당부했다. 해당 이메일 첨부파일에는 넴티(Nemty) 랜섬웨어가 들어있는 것으로 확인됐다.
넴티 랜섬웨어는 지난 2019년 여름 처음 발견됐다. 약 1천 달러~3천 달러 상당의 비트코인을 요구하며, 지난 가을엔 네덜란드의 보안기업 테소리온(TESORION)이 넴티 랜섬웨어 복구툴을 무료로 배포한 바 있어 사실 그리 위협적이진 않다.
공격자는 메일에 자연스러운 한글 메시지를 포함해 메일 수신자의 의심을 피하고 악성 첨부파일을 열어보도록 유도하고 있다. 첨부파일은 특정인의 이름을 제목으로 한 압축파일(.tgz)을 첨부했다.
파일 압축을 해제하면 ‘포트폴리오(200317)_뽑아주시면 열심히하겠습니다’와 ‘입사지원서(200317)_뽑아주시면 열심히하겠습니다’라는 이름의 파일이 나오는데, PDF 파일 아이콘으로 위장한 실행파일(.exe)이다. 만약 사용자가 악성 실행파일을 실행하면 넴티 랜섬웨어에 감염된다.
안랩은 이러한 랜섬웨어 감염 방지를 위해 ▲출처가 불분명한 메일의 첨부파일 실행 자제 ▲‘알려진 파일형식의 확장명 숨기기’ 설정 해제 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲각종 프로그램 최신 보안 패치 적용 ▲최신 버전 백신 사용 ▲중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지킬 것을 당부했다.
한편 넴티 랜섬웨어는 최근 변종 랜섬웨어 네필림(Nefilim) 랜섬웨어로 새롭게 돌아온 것으로 확인됐다. 네필림 랜섬웨어는 넴티와 다르게 RaaS(서비스형 랜섬웨어) 구성요소를 포함하지 않으며, 복호화 비용 요구 결제 프로세스에 Tor 브라우저를 사용하지 않는다.
