"범죄도 서비스다"…신종 랜섬웨어 '시프르' 등장

[아이뉴스24 김국배기자] 서비스형 랜섬웨어(RaaS)를 통해 신종 랜섬웨어 '시프르(Shifr)'가 유포되고 있어 우려된다.

RaaS는 돈을 주면 랜섬웨어를 제작·관리해주는 서비스로, 랜섬웨어가 기승을 부리는 원인 중 하나로 꼽힌다. 이를 통해 전문가가 아니더라도 랜섬웨어를 뿌릴 수 있기 때문이다.

13일 안랩에 따르면 최근 유포되고 있는 시프르 랜섬웨어는 이런 서비스를 통해 제작된 것으로 확인됐다.

시프르 랜섬웨어에 감염되면 파일 확장명에 'shifr'라는 문자열이 추가되고, 암호화가 완료된 후엔 바탕화면에 'HOW_TO_DECRYPT_FILES.html'라는 파일이 생성된다.

이 파일은 랜섬웨어에 감염됐다는 사실을 알리는 협박 메시지(랜섬노트)로, 일반적으로 암호화된 파일이 존재하는 폴더마다 랜섬노트를 생성하는 랜섬웨어와 다르다.

여기에는 '파일이 암호화됐다'는 메시지와 함께 파일 복구를 위한 안내 페이지에 접속할 것을 요구하는 내용이 담겨있다. 안내 페이지는 익명으로 인터넷을 연결하는 가상 네트워크 '토르'에 존재한다. 이 페이지는 복호화 프로그램 다운로드 버튼을 제공하고 있다.

특히 기존 RaaS가 비트코인 주소, 이메일 주소, 암호화 후 요구할 금액, 암호화 대상 파일 확장자명, 생성할 악성코드 확장자명, 백신 제품 진단 회피 기능 필요 여부 등의 다양한 정보 입력을 요구한 것과 달리 몇 가지 정보만 입력하면 버튼 클릭 한 번으로 손쉽게 악성코드를 제작할 수 있어 더 큰 우려를 낳고 있다.

시프르 랜섬웨어 제작 서비스 사이트는 비트코인을 받을 주소와 요구 금액, 캡챠(Captcha) 등 세 가지 정보를 요구한다. 사용자가 사람인지 구분하는 용도인 캡챠를 제외하면 서비스 제공자가 요구하는 정보는 사실상 두 개 뿐이다.

더욱이 이 RaaS 제공자는 다른 RaaS의 절반 수준인 수익의 10%만을 수수료로 요구하고 있다.

안랩은 "최근 들어 RaaS를 통해 랜섬웨어가 손쉽게 제작되면서 랜섬웨어가 큰 폭으로 증가하고 있는 추세"라며 "잘 알려져 있는 것처럼 랜섬웨어는 일단 감염되면 파일 복구가 사실상 불가능해 운영체제 보안 업데이트, 주기적인 백업 등 사전 예방이 가장 중요하다"고 전했다.