한국어 '직소' 랜섬웨어 발견…한국인 개발 추정

[아시아경제 황준호 기자] 한국인 개발자가 제작한 것으로 추정되는 '직소(JigSaw) 랜섬웨어 변종'이 발견됐다.

랜섬웨어에 감염되면 공포 영화 '쏘우(Saw)'에 등장했던 광대 마스크 '빌리 더 퍼펫' 이미지가 나오고 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 하는 랜섬웨어로 한국어로 돼 있는 것이 특징이다.

통합 보안 기업 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 변종 직소 랜섬웨어를 발견해 현재 통합 백신 알약(ALYac)에서 'Trojan.Ransom.Jigsaw'으로 탐지해 차단하고 있다고 19일 밝혔다.

ESRC은 변종 직소 랜섬웨어에 사용된 한글 안내문이 감탄사, 이모티콘을 적절히 사용하는 등 원어민 수준에 가까운 완벽한 구어체로 작성돼 있으며 소스코드 분석 결과 주석, 폴더 경로 등에서 다량의 한글이 발견된 정황을 통해 한국인 개발자가 직접 개발에 참여한 것으로 추정했다.

ESRC에 따르면 이번 랜섬웨어에 감염되면 영화 쏘우의 범인이 TV를 통해 문장을 보여주며 인질을 협박했던 장면과 유사하게, PC 화면에 창을 띄우고 한글로 된 대화 형태의 안내문을 한 줄씩 순차적으로 보여주며 암호 해제(복호화)를 위해 비트코인 결제를 하도록 협박한다.

또한 이 랜섬웨어는 '헤... 게임을 시작해 볼까요?'라는 문장을 띄우고, 48시간이 지날 때마다 백 개의 파일이 반복적으로 삭제된다고 협박하는 등 인질과 탈출을 걸고 게임을 벌인 영화의 내용을 모방한 특성도 동일하게 가지고 있다.

다만 ESRC는 해당 랜섬웨어를 분석하던 시점까지 실제로 파일 암호화가 진행되지 않았으며, 각종 제작상 오류(버그)도 발견되는 등 이번 변종은 테스트용으로 제작한 샘플일 가능성이 있다고 분석했다.

김준섭 이스트시큐리티 부사장은 "이번 직소 랜섬웨의 변종을 통해 국내 사정에 정통한 한국인 개발자까지 랜섬웨어 공격에 뛰어든 것으로 추정되기 때문에, 앞으로 국내 사용자의 심리와 특성을 정교히 활용한 더욱 진화된 공격이 나타날 수 있다"고 밝혔다.

한국인터넷진흥원(KISA)은 "랜섬웨어 정보수집 허브운영 협력 채널을 통해 이스트시큐리티 등 민간 보안 기업과 최신 랜섬웨어 공격에 대한 정보를 실시간으로 공유하며, 랜섬웨어 피해 확산 방지에 총력을 다하고 있다"며 "랜섬웨어는 국가적인 차원에서 심각한 사이버 범죄로 주목하고 있기 때문에, 개인이 호기심으로 테스트용 랜섬웨어를 제작하는 것만으로도 처벌을 받을 수 있으니 주의해야 한다"고 당부했다.