감염되면 PC 주요 문서에 '*.sage' 확장자 추가
암호 푸는 대가로 비트코인 요구…고객센터까지 운영
[아시아경제 한진주 기자] 이메일에 첨부되는 워드문서 파일로 '세이지' 랜섬웨어가 유포되고 있어 이용자들의 주의가 필요하다.
15일 보안전문기업 하우리는 최근 메일로 유포되는 세이지 랜섬웨어에 의한 피해가 증가하고 있다고 밝혔다.
'세이지(Sage)' 랜섬웨어가 유포되는 경로는 이메일에 첨부된 워드문서 파일이다. 사용자가 워드 문서를 열람할 경우, 워드 문서 파일에 포함된 매크로 기능을 악용하여 사용자의 PC에 랜섬웨어를 내려받고 실행시켜 감염되게 만든다.
세이지 랜섬웨어에 감염되면, PC의 주요 문서들을 암호화하고 '.sage' 확장자를 추가한다. 랜섬웨어의 암호화 작업이 완료되면, 바탕화면 배경 이미지가 바뀌면서 복호화를 위한 안내 문구를 보여준다.
세이지 랜섬웨어는 추적하기 어렵도록 익명 브라우저(Tor)를 사용하도록 유도하고 비트코인을 요구한다. 또한 복호화에 대한 신뢰감을 주기 위해 고객센터도 운영하는 것이 특징이다.
이번 랜섬웨어는 워드 문서의 매크로 기능을 악용하기 때문에 사용자가 주의하면 얼마든지 예방이 가능하다. 기본적으로 매크로 기능은 보안을 이유로 비활성화 돼있다. 랜섬웨어 유포자는 사용자가 매크로 기능을 활성화하도록 다양한 사회공학 기법을 이용해 유도한다. 사용자가 매크로 기능을 수동으로 활성화하지 않으면 랜섬웨어에 감염되지 않는다.
하우리 CERT실은 "본인이 직접 매크로 기능을 워드에 추가한 것이 아니라면, 어떠한 매크로 기능도 활성화해서는 안된다"며 "항상 백신프로그램을 최신으로 유지하여 랜섬웨어를 예방할 수 있도록 해야 한다"고 말했다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>