2015.04.23

“클리앙의 국내 최초 DBD-랜섬웨어 유포 사태, 사전 차단 중요”… 빛스캔

이수경 기자 | ITWorld
전세계적으로 랜섬웨어 피해가 극심한 가운데 국내에서도 대규모 피해 사태가 일어나 각별한 주의가 당부되고 있다. 신규 취약성을 중심으로 국내 주요 웹서비스에 대한 공격과 악성코드에 감염되는 사례가 증가할 것으로 예상되는 다운데, 초기 대책에 대한 중요성도 대두하고 있다.

23일 빛스캔은 최근 클리앙 웹사이트에서 DBD(드라이브 바이 다운로드, Drive by Download) 공격 방식으로 배포된 크립토웨어에 관한 분석 및 전망을 내놓았다.

빛스캔은 지난 21일 발발한 클리앙 사태가 전세계를 무대로 활용하는 랜섬웨어 해커 집단이 공격 대상을 한국으로 확대된 것이라고 분석했다. 현재까지 분석된 내용에 따르면, 공격자들이 클리앙 웹사이트를 해킹하여 악성링크를 추가한 것으로 확인됐다. 해당 악성코드는 사이트 광고 서버를 통해 재유포되고 있으며, 악성코드 경유지는 트위터로 리다이렉션되고 있는 상황이다.

이 악성코드에 감염된 PC의 주요 파일은 암호화되며, 해당 국가로 작성된 txt, html을 생성해 사용자에게 PC가 감염된 사실을 알리는 것으로 확인됐다. 좀비 PC의 IP 주소를 기반으로 국가별 또는 언어별로 안내문구를 작성하는 것도 확인됐다.

이번 공격은 국내 최초 DBD 공격 방식을 이용한 랜섬웨어 대량 감염이라는 점에서 의미가 크다. DBD 공격은 주로 원격통제나 금융정보 탈취를 위한 용도로 발생하였으나, 불특정 다수에게 랜섬웨어를 유포한다는 점에서 심각한 상황을 야기하고 있다.

빛스캔은 현재 국내 사이트를 통해 감영에 이용된 취약성은 인터넷 익스플로러와 플래시 등 시일이 지난 취약성을 활용하였으나, 앞으로 신규 취약성도 추가로 악용할 경우 피해는 지금보다 더 커질 수도 있다고 경고했다.

이어, 사후 대책에만 치우치는 상황에 대해서 우려를 나타냈다. 백신 및 보안업데이트가 중요하기는 하지만, 사건이 일어나는 시점에서는 빠르게 대처하기 어려운 부분이 있다. 또한, 해당 악성코드를 안전하게 제거하더라도 이미 데이터는 암호화되어 있어 효과적인 대안이 아니라는 지적이다. 빛스캔은 그만큼 초기 대책이 중요하므로, 사후 진단이 아닌 웹에 대한 사전차단이 필요한 시점이라고 강조했다.

한편, 크립토웨어는 랜섬웨어의 일종으로, 사용자의 데이터를 암호화한 뒤 복호화 키를 준다는 조건으로 돈을 요구한다. 여기에는 비트코인 또는 추적이 어려운 전자 화폐 수단이 활용된다. editor@itworld.co.kr 


2015.04.23

“클리앙의 국내 최초 DBD-랜섬웨어 유포 사태, 사전 차단 중요”… 빛스캔

이수경 기자 | ITWorld
전세계적으로 랜섬웨어 피해가 극심한 가운데 국내에서도 대규모 피해 사태가 일어나 각별한 주의가 당부되고 있다. 신규 취약성을 중심으로 국내 주요 웹서비스에 대한 공격과 악성코드에 감염되는 사례가 증가할 것으로 예상되는 다운데, 초기 대책에 대한 중요성도 대두하고 있다.

23일 빛스캔은 최근 클리앙 웹사이트에서 DBD(드라이브 바이 다운로드, Drive by Download) 공격 방식으로 배포된 크립토웨어에 관한 분석 및 전망을 내놓았다.

빛스캔은 지난 21일 발발한 클리앙 사태가 전세계를 무대로 활용하는 랜섬웨어 해커 집단이 공격 대상을 한국으로 확대된 것이라고 분석했다. 현재까지 분석된 내용에 따르면, 공격자들이 클리앙 웹사이트를 해킹하여 악성링크를 추가한 것으로 확인됐다. 해당 악성코드는 사이트 광고 서버를 통해 재유포되고 있으며, 악성코드 경유지는 트위터로 리다이렉션되고 있는 상황이다.

이 악성코드에 감염된 PC의 주요 파일은 암호화되며, 해당 국가로 작성된 txt, html을 생성해 사용자에게 PC가 감염된 사실을 알리는 것으로 확인됐다. 좀비 PC의 IP 주소를 기반으로 국가별 또는 언어별로 안내문구를 작성하는 것도 확인됐다.

이번 공격은 국내 최초 DBD 공격 방식을 이용한 랜섬웨어 대량 감염이라는 점에서 의미가 크다. DBD 공격은 주로 원격통제나 금융정보 탈취를 위한 용도로 발생하였으나, 불특정 다수에게 랜섬웨어를 유포한다는 점에서 심각한 상황을 야기하고 있다.

빛스캔은 현재 국내 사이트를 통해 감영에 이용된 취약성은 인터넷 익스플로러와 플래시 등 시일이 지난 취약성을 활용하였으나, 앞으로 신규 취약성도 추가로 악용할 경우 피해는 지금보다 더 커질 수도 있다고 경고했다.

이어, 사후 대책에만 치우치는 상황에 대해서 우려를 나타냈다. 백신 및 보안업데이트가 중요하기는 하지만, 사건이 일어나는 시점에서는 빠르게 대처하기 어려운 부분이 있다. 또한, 해당 악성코드를 안전하게 제거하더라도 이미 데이터는 암호화되어 있어 효과적인 대안이 아니라는 지적이다. 빛스캔은 그만큼 초기 대책이 중요하므로, 사후 진단이 아닌 웹에 대한 사전차단이 필요한 시점이라고 강조했다.

한편, 크립토웨어는 랜섬웨어의 일종으로, 사용자의 데이터를 암호화한 뒤 복호화 키를 준다는 조건으로 돈을 요구한다. 여기에는 비트코인 또는 추적이 어려운 전자 화폐 수단이 활용된다. editor@itworld.co.kr 


X