최근 전세계적으로 피해를 증가시키는 랜섬웨어가 국내에서도 발견됨에 따라 새로운 보안 위협으로 등장하고 있다. 특히 랜섬웨어(Ransomware, 데이터를 ‘인질’로 잡는 사이버 공격)의 일종으로 지난 2013년 출현 이후 피해 규모가 커지고 있는 ‘크립토락커(CryptoLocker)’의 한글 버전이 배포되고 있어 사용자의 각별한 주의가 당부되고 있다.

지난 4월21일 국내 커뮤니티 웹사이트인 ‘클리앙’에서는 드라이브 바이 다운로드(Drive by Download, DBD) 공격 방식으로 크립토락커가 배포됐다.

렌섬웨어에 감염된 PC의 시스템 파일을 제외한 MS 오피스 및 한글 문서 파일, 압축 파일, 동영상, 사진 등을 암호화해 정상적으로 사용하지 못하게 만든 뒤 이를 풀어주는 조건으로 돈을 요구한다.

특히 비트코인 또는 추적이 어려운 전자 화폐 수단이 사용돼 추후에 추적하는 것도 쉽지 않다. 또한 비용을 지불한다 하더라도 데이터 복원이 불가능하다.

특히 이번 크립토웨어 경유지는 다양한 도메인을 사용하며 계속해서 변형되므로 URL 및 URI를 차단하는 것만으로는 공격을 방어할 수 없다는 한계가 있다.

또한 공격자의 의도에 따라 IP도 쉽게 변경할 수 있다는 점에서 현재로서는 악성 사이트를 빠르게 탐지하고 이미 감염된 PC를 격리 조치하는 것만이 현재의 위험을 줄이는 최선의 대응 방안으로 제시되고 있다.

이에 블루코트도 멀웨어를 감지해 보호된 영역 내에서 위험 여부를 분석하는 샌드박싱 기술을 적용한 멀웨어 분석 솔루션인 ‘MAA(Malware Analysis Appliance)’와 ‘블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)’를 활용해 클리앙 랜섬웨어(CRYPTOLOCKER) 공격 양상을 확인했다.

블루코트코리아가 클리앙 랜섬웨어 분석결과 메모리 참조, 실행파일등록, 네트워크 트래픽 유발내역 등이 확인됐고 C&C서버로의 통신시에도 랜섬웨어의 다양한 보안 위협 행위들이 탐지 됐다. 또한 금융 정보 탈취 맬웨어로 유명한 ‘Emotet Trojan’도 확인됐다.

또한 블루코트는 버추얼 윈도(Virtual Windows) 기반 가상머신(VM)의 랜섬웨어 감염을 샌드박스에서 확인할 수 있었다.