본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

파일을 실행하지 않아도 랜섬웨어에 감염된다?

by 파스칼바이런 2015. 12. 18.

파일을 실행하지 않아도 랜섬웨어에 감염된다?

AhnLab / 2015-12-09

 

 

 

 

신•변종 랜섬웨어가 확산되고 있는 가운데, 최근 인터넷 스트리밍의 광고창이나 인터넷 뉴스 사이트를 통해 랜섬웨어에 감염되는 경우가 발생해 사용자들의 각별한 주의가 요구된다.

 

악성코드에 감염되는 대부분의 경우는 이메일 첨부 파일 등을 실행할 때 발생된다. 그러나 일부 악성코드는 단지 웹사이트를 방문하기만 해도 감염을 유발하는 경우가 있다. 인터넷 서버 시스템의 취약점을 악용해 사용자의 PC를 감염시키는 방식이다. 최근 유포되고 있는 랜섬웨어 중에도 이러한 방식을 이용한 사례가 있다.  

 

1. 스트리밍 서비스 광고창을 이용한 랜섬웨어 유포

 

스트리밍 서비스(Streaming Service)는 음악 또는 동영상 파일을 PC에 저장하여 재생하는 ‘다운로드 방식’과 달리 데이터를 실시간으로 전송 및 재생하는 서비스이다. 최근 스트리밍 서비스를 제공하는 업체들이 늘어나면서 인터넷만 연결되어 있으면 언제, 어디서나 원하는 영화, 음악, TV 프로그램 등을 감상할 수 있게 되었다. 이들 스트리밍 서비스 제공 업체는 동영상 등을 재생할 때 나타나는 광고창을 통해 수익을 얻는다. 그러나 대부분의 사용자들은 이러한 광고창을 무시 또는 종료한 후 동영상을 시청한다.  

 

 

[그림 1] 동영상 스트리밍 서비스 및 광고창

 

 

그런데 최근 스트리밍 서비스를 통해 동영상 이용 중 랜섬웨어에 감염되는 사례가 발생했다. 스트리밍 서비스의 동영상 이용 후 다음과 같은 랜섬웨어 감염 알림창이 나타나는 것이다.

 

 

[그림 2] 랜섬웨어 감염 알림창

 

 

사용자가 파일을 실행한 것이 아님에도 불구하고 랜섬웨어에 감염된 이유는 스트리밍 서비스와 함께 제공되는 광고 사이트 내부에 삽입되어 있는 악성 스크립트 때문이다. 악성코드 제작자가 익스플로잇 킷(Exploit Kit, 악성코드 제작/유포 도구)을 이용하여 보안이 취약한 해당 광고 사이트 속에 악성 스크립트를 삽입한 것이다. 해당 악성 스크립트는 보안 솔루션의 탐지를 피하기 위해 보안 제품의 설치 여부를 확인하고 사용자 PC에 존재하는 취약점을 체크한 후 악성코드를 실행한다.  

 

 

그렇다면 광고창이 나타나지 않는 사이트라면 랜섬웨어나 그 외 악성코드 감염의 걱정을 하지 않아도 될까? 안타깝지만 그렇지는 않다. 광고창이 나타나지 않더라도 보안이 취약한 웹사이트라면 언제든 악성코드 유포에 이용될 수 있기 때문이다.  

 

2. 취약한 인터넷 뉴스 사이트를 이용한 랜섬웨어 유포

 

최근 모 인터넷 뉴스 사이트를 통해 랜섬웨어가 유포된 사례가 발견되었다. 해당 사이트는 접속하더라도 별도의 광고창이 생성되지는 않지만, 사이트 내부에 악성 스크립트가 삽입되어 있어 사용자가 뉴스 기사를 읽던 중 랜섬웨어 감염 알림창이 나타났다.  

 

 

[그림 3] 악성 스크립트가 삽입된 모 인터넷 뉴스 사이트

 

 

해당 사이트를 통해 랜섬웨어에 감염된 이용자들은 포털 사이트의 뉴스 검색을 통해 해당 사이트에 접속했던 것으로 확인되었다.  

 

이처럼 랜섬웨어 등 악성코드 유포에 보안이 취약한 웹사이트가 이용되는 사례가 나날이 증가하고 있다. 취약한 웹사이트를 통한 악성코드 감염을 예방하기 위해서는 웹 브라우저를 비롯해 웹 사이트 이용에 필요한 Java, 플래시 플레이어 등의 프로그램을 최신 버전으로 업데이트하는 것이 필수적이다. 또한 백신 프로그램의 엔진을 항상 최신 버전으로 유지하고 운영체제의 보안 업데이트 적용 또한 잊지 않는 것이 필요하다.  

 

특히 랜섬웨어는 백신 등을 이용해 삭제할 수는 있지만 랜섬웨어에 의해 이미 암호화된 파일을 원상 복구하는 것은 또 다른 문제다. 따라서 랜섬웨어의 피해를 최소화하기 위해서는 평소 중요한 데이터는 주기적으로 백업해두고 보안 수칙을 준수하는 습관을 갖는 것이 바람직하다.  

 

한편 V3 제품에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

 

 

<V3 제품군의 진단명>

Trojan/Win32.Teslacrypt  

Trojan/Win32.CryptoWall

Trojan/Win32.CryptoLocker