안랩, 파일관리 프로그램 위장 랜섬웨어 주의보

‘다르마’ 이메일·P2P 통해 유포
“실행해 감염되면 파일 암호화되고
윈도 복원 지점 삭제해 복구 방해”
비트코인 요구…가격 흥정 시도도

다르마 랜섬웨어에 감염되면 이런 형태의 비트코인 요구 문서를 받게 된다. 안랩 제공

컴퓨터 보안업체인 안랩은 21일 파일관리 프로그램을 사칭한 랜섬웨어 ‘다르마’(Dharma)가 이메일과 파일 공유 사이트 등을 통해 유포되고 있다며 주의를 당부했다.

공격자는 다르마를 파일 생성 날짜와 속성 등을 변경·관리하는 데 사용하는 특정 외산 프로그램(프리웨어)의 실행파일로 위장해 유포하고 있다. 정상 설치 파일과 매우 흡사하게 가짜 설치 화면을 구성해, 사용자가 주의를 기울이지 않으면 가짜 설치 화면을 구분하기 어렵다.

해당 가짜 설치 파일을 실행하는 즉시 랜섬웨어에 감염돼 사용자 컴퓨터 내 파일이 암호화된다. 또한 사용자 컴퓨터에 설정된 ‘윈도 복원 지점’을 삭제해 사용자의 시스템 복구를 방해한다. 이후 파일 복구 대가로 비트코인을 요구하는 화면(랜섬노트)이 나타난다. 공격자는 이 랜섬노트에 ‘언제 연락하는지에 따라 금액이 변한다’고 적어 가격 흥정도 시도한다.

이런 랜섬웨어의 피해를 최소화하려면 공식 누리집을 이용한 소프트웨어 다운로드, 출처가 불분명한 파일 실행 자제, 중요 파일 별도 백업, 백신 프로그램 최신 업데이트 및 실시간 감시 실행, 운영체제와 응용프로그램의 최신 버전 유지 및 보안 패치 적용 같은 기본 보안수칙을 실천해야 한다. 박태환 안랩 대응팀장은 “공격자들은 보안 업데이트가 미비하거나 파일 다운로드 시 비정상 경로를 이용하는 등 부주의한 사용자를 노린다. 순간의 부주의가 큰 피해로 이어질 수 있으므로 평소 기본 보안수칙을 실천하는 ‘보안 생활화’가 필수”라고 말했다.

김재섭 기자 jskim@hani.co.kr