|
|
|
보안업체 이스트시큐리티의 시큐리티대응센터(이하 ESRC)는 새롭게 발견된 랜섬웨어가 해외에서 교육용으로 공개된 오픈소스 랜섬웨어인 ‘히든 티어(Hidden Tear)’를 활용해 닷넷 기반으로 제작된 것으로 분석했다.
제작자는 이 랜섬웨어를 ‘블랙리스트CP(BlackListCP)’로 명명하고 있으며, 금전 갈취를 목적으로 하는 기존의 랜섬웨어와 달리 비트코인 등을 요구하지는 않지만 문서, 사진 등 PC에 저장된 파일을 암호화시키는 악성 동작은 정상적으로 수행한다.
사용자가 아이콘을 실행하면 DOC, PPTX 등 흔히 사용되는 158종의 확장자를 가진 파일을 암호화시킨다.
또한 암호화가 완료되면 바탕화면 경로에 ‘notice.txt’라는 이름의 랜섬노트를 통해 한국어와 영문으로 감염 사실을 안내하는 동시에, 제작자의 계정으로 추정되는 ‘SkyDragon7845’ 라는 아이디와 특정 웹사이트 주소(URL)를 보여준다.
ESRC 관계자는 “이번 랜섬웨어가 해외에 공개된 오픈소스를 활용해 제작되었고, 파일을 볼모로 금전을 요구하지 않는 점, 제작자가 안내한 동영상 사이트에 청소년들이 즐겨하는 유명 온라인 게임 영상도 등록되어있는 점으로 미뤄보아, 실제 범죄 행위를 목적으로 제작된 랜섬웨어는 아닐 것으로 판단된다”고 밝혔다.
하지만 “금전을 요구하지 않더라도 실제로 파일을 암호화시키는 동작을 수행하는 랜섬웨어를 제작한다면 민형사상 책임에서 자유로울 수 없기 때문에, 단순한 호기심이나 장난으로라도 랜섬웨어를 제작하고 유포해서는 안된다”고 당부했다.