국내에 비너스락커(VenusLocker) 랜섬웨어를 유포했던 사이버 공격조직이 최근 대규모 악성메일을 국내에 유포중인 것으로 확인되었습니다.

한글로 된 ‘입사지원서’, ‘이미지 무단사용 내용의 저작권법 안내’ 등의 메일을 통해 이용자를 현혹하여 피해자가 악성 매크로 코드가 포함된 MS워드 파일을 실행하도록 유도하고 있으며 주로 갠드크랩(GandCrab) 랜섬웨어를 집중적으로 유포하고 있습니다.

12월 8일 이후에는 ‘임금체불관련 출석요구서’, ‘입사지원서’등의 다양한 형태를 통해 악성메일이 확산되고 있어 피해 규모나 공격 양상이 점차 고도화 되고 있는 것으로 보여 집니다. 또한 발신자 이메일에는 한국식 이름이 설정되어 있고 Google 메일을 사용하는 것으로 확인되었습니다.

해당 이메일에 첨부되어 있는 MS워드 문서파일 실행 시 악성 매크로 코드가 실행되어 지정된 C2 서버로부터 추가 악성파일을 설치시도 하며 주로 랜섬웨어를 활성화 합니다. 따라서 문서 및 첨부파일 실행 시 ‘콘텐츠 사용’ 보안 경고창이 활성화 되는 경우 해당 파일의 실행을 지양해야 합니다.

점차 한국 맞춤형 랜섬웨어 공격이 증가하고 있다는 점에서 교육기관 및 구성원들의 개인 PC보안 (윈도우 최신 업데이트, 알약 백신 최신 업데이트) 및 자료보관(랜섬쉴드를 통한 백업)을 강화하고 지속적인 관심과 주의가 필요합니다.

현재 교내 사용중인 ‘알약 백신’을 통해 해당 악성파일에 대한 탐지 및 치료가 가능합니다.

□ 랜섬웨어 피해 예방을 위한 대응방안