하우리 "랜섬웨어 변종 갑자기 확산..플래시 업데이트 설치해야"

헤르메스 랜섬웨어 감염 시 나타나는 화면. 하우리 제공

[이데일리 이재운 기자] 파일에 암호를 걸고 금전 대가를 요구하는 ‘랜섬웨어’ 변종 공격이 또 기승을 부리고 있어 주의가 요구된다.

보안업체 하우리는 최근 ‘헤르메스(HERMES)’ 랜섬웨어가 플래시 취약점을 통해 국내에 유포되고 있어 주의가 요구된다고 12일 밝혔다.

하우리는 인텔리전스 위협 탐지 시스템(Radar)을 통해 이날 오전부터 헤르메스 랜섬웨어 2.1 버전이 최근에 새로 발견된 플래시 취약점(CVE-2018-4878)을 통해 유포되고 있는 것을 확인했다. 이 취약점은 최근 탈북자나 북한 연구자 등을 대상으로 이뤄진 지능형 지속공격(APT)에 활용된 바 있다. 헤르메스 신규 버전은 이 취약점에다 자동으로 파일을 내려받아 실행하게 하는 방식(드라이브바이다운로드)을 이용해 확신이 빠르게 진행되고 있다.

감염될 경우 폴더마다 ‘DECRYPT_INFORMATION.html’ 라는 이름의 파일을 생성하면서 파일에 암호를 설정하고, 이를 해제하는 대가로 약 266만원 상당의 암호화폐를 요구한다.

여기에 국산 백신(바이러스 검사 프로그램)을 우회하는 기능까지 추가해 피해가 더욱 커지고 있다. 하우리는 현재 바이로봇과 APT쉴드 등의 제품에서 이를 탐지해 치료하도록 업데이트했다.

이에 대한 대응책으로 하우리는 △플래시 업데이트 실시 △백신 업데이트 등을 통해 대응할 것을 당부했다.

최상명 하우리 CERT실장은 “지난 달에 플래시 패치가 나왔지만 아직도 패치를 하지 않은 사용자가 많다”며 “해당 취약점이 사용되기 시작한 이후 국내 랜섬웨어 감염자가 크게 증가하고 있으므로 아직 패치를 하지 않은 사용자는 반드시 패치를 해야 한다”고 강조했다.