PC 환경 따라 랜섬웨어·채굴 악성코드 결정?

[아이뉴스24 성지은 기자] PC 환경에 따라 공격 방법을 달리하는 악성코드가 발견됐다.

상황에 따라 파일을 암호화하고 복구를 대가로 암호화폐를 요구하는 '랜섬웨어'에 감염시키거나, 중앙처리장치(CPU) 등 사용자 IT 자원을 암호화폐 채굴에 몰래 사용하는 '채굴형 악성코드'를 유포하는 것.

해커들은 수익성을 극대화하기 위해 이 같은 공격법을 택한 것으로 보인다.

7일 러시아 사이버보안 기업 카스퍼스키랩에 따르면 사용자의 PC 환경을 탐색하고 공격 방법을 달리하는 악성코드가 발견됐다.

문제의 악성코드는 문서와 함께 메일을 통해 유포됐다. 사용자가 메일에 첨부된 문서를 열고 특정 이미지를 클릭해 실행하면, 악성코드가 발동되며 PC를 탐색한다.

만약 PC에 특정 폴더(%AppData%\Bitcoin)가 존재하면, PC를 랜섬웨어에 감염시킨다. 이 폴더는 비트코인 지갑이 PC에 저장돼있음을 암시한다.

사용자가 비트코인 같은 암호화폐를 가지고 있으면 파일을 복구하기 위해 돈을 지불할 확률이 높다. 이에 해커는 해당 폴더가 존재할 경우 PC를 랜섬웨어에 감염시키는 것으로 분석된다.

만약 특정 폴더가 없는 대신 PC 사양이 좋다면, 채굴형 악성코드를 내려보낸다. 고사양의 PC는 채굴 생산성이 높기 때문. 보통 암호화폐는 발행량이 한정돼있으며, 참여자들은 암호화된 데이터를 풀어내는 '채굴'이란 과정을 거쳐 암호화폐를 얻는다.

특이한 점은 해당 폴더가 없고 PC 사양도 좋지 않다면, 랜섬웨어나 채굴형 악성코드에 감염시키지 않는 것. 대신 해커는 PC와 연결된 네트워크를 통해 다른 PC로 악성코드를 전파한다.

오르칸 마메도프 카스퍼스키랩 악성코드 분석가는 "이는 사이버 범죄자가 사용하는 기회주의 전술의 한 예"라며 "(해커들은) 돈을 강탈하거나 또는 사용자 자원을 무단으로 사용하는 방식으로 이익을 얻고 있다"고 설명했다.

그동안 사이버 공격은 경제적 이익을 극대화하는 방식으로 이뤄졌다. 랜섬웨어에 감염될 시 한국어를 비롯한 여러 언어로 알림창을 띄우고, 암호화폐를 구매하고 지불할 수 있는 방법을 안내하기까지 했다.

최근엔 피해자에게 돈을 직접 받기보다 몰래 IT 자원을 이용한 수익 채굴형 악성코드가 기승을 부리고 있다. '맥아피 연구소 위협 보고서'에 따르면, 올해 1분기 발견된 채굴형 악성코드는 290만개로 전분기 대비 629% 급증했다.

보안업계 관계자는 "데이터를 탈취하거나 랜섬웨어에 감염시키는 것보다 채굴형 악성코드에 감염시키는 게 쉽고 단순하며 위험도 적다"며 "간접적인 방식으로 피해자가 돈을 지불하게 만들고 수익을 얻는 방식으로 공격이 변하고 있다"고 설명했다.