금전적 이득을 노리는 최근 사이버 공격의 대부분이 암호화폐(가상화폐)에 집중되는 경향을 보이는 가운데, 수익을 극대화하기 위해 타깃이 되는 컴퓨터 환경에 따라 공격 방식을 스스로 결정하는 기상천외한 공격 방식까지 등장했다.
지금까지 공격자는 랜섬웨어나 가상화폐 채굴 악성코드를 어디에 어떻게 유포시켜 최대한 많이 감염시킬 것인기에만 관심이 있었다. 몇 년 전까지만 해도 공격자는 100명 중 한 명은 걸려든다는 가정 하에 최대한 많은 컴퓨터를 감염시키는 데 집중했다.
하지만, 시간이 지나면서 공격 성공률이 점점 줄어들자 공격자는 무차별 공격보다는 선택형 공격으로 방향을 선회했다. 랜섬웨어는 컴퓨터에 중요한 파일이 많을수록 돈을 내고서라도 복구를 시도할 가능성이 높다. 채굴 악성코드는 컴퓨터가 유휴 상태일 때가 많고, 성능이 높을수록 많은 가상화폐를 채굴할 수 있다. 이처럼 공격 효율은 투자 대비 수익과 직결된다.
카스퍼스키랩이 발견한 이 악성코드는 ‘라크니(Rakhni)’ 랜섬웨어의 변종으로 유포 방식은 문서 파일을 첨부한 스피어 피싱 이메일이라는 점에서 기존과 크게 다르지 않지만, 막상 시스템에 유입되면 색다른 양상을 보인다.
악성코드는 우선 감염 시스템이 실제 영향을 미치는 시스템이 아니라 가상머신이나 샌드박스인지 여부를 확인한다. 이후 발각되지 않고 시스템을 감염시킬 수 있다고 판단하면 이 컴퓨터를 랜섬웨어로 공격할지 은밀하게 채굴 악성코드를 심을지를 결정하는 추가 확인 작업을 수행한다.
먼저 윈도 사용자 폴더를 검색한 후 비트코인 관련 폴더가 있을 경우 랜섬웨어를 설치한다. 해당 피해자가 가상화폐 거래를 해봤거나 현재 가상화폐 투자자일 가능성이 높기 때문에 랜섬웨어에 감염되면 가상화폐를 지불할 가능성이 높다고 보는 것이다.
만약 비트코인 관련 폴더가 없을 경우 시스템 사양을 조사해 두 개 이상의 논리 프로세서가 있으면 가상화폐 채굴기를 설치한다. 채굴하는 가상화폐는 모네로(XMR), 모네로 오리지널(XMO), 대시코인(DSH)으로 사용자 몰래 프로세스 자원을 채굴에 동원하고, 채굴한 가상화폐를 미리 지정한 계좌로 빼돌린다.
비트코인 관련 폴더도 없고, 논리 프로세서도 하나 뿐인 시스템이라면 다른 먹잇감을 찾아 나선다. 웜 바이러스처럼 시스템과 리스소를 공유하는 로컬 네트워크상의 모든 컴퓨터에 자기 자신을 복제한다. 새로운 컴퓨터에 복제를 완료하면 다시 처음의 과정을 되풀이한다.
카스퍼스키랩에 따르면, 이 악성코드는 90% 이상이 러시아에서 발견됐고, 뒤이어 카자흐스탄, 우르라이나, 독일, 인도 등에서도 감염 사례가 조금씩 발견됐다. 한국에서는 아직 피해 사실이 알려지지 않았으나, 언제든 변종이 출현할 가능성이 있는 만큼 컴퓨터 사용자의 주의가 요구된다.
시스템 취약점을 통해 자동으로 감염되는 악성코드의 경우 운영체제(OS) 및 주요 소프트웨어 최신 패치를 적용하는 게 중요하지만, 스피어 피싱 이메일의 경우 피해자로 하여금 악성코드를 직접 실행하도록 유도하는 형태이기 때문에 최신 패치가 적용돼 있어도 무용지물이다.
피해 예방을 위해서는 의심스러운 파일이나 링크를 함부로 클릭하지 않는 게 가장 중요하다. 또 중요 파일을 수시로 백업하고, 최소한의 방어책인 안티바이러스를 최신으로 유지하고 실시간 감시를 활성화해두는 게 좋다.