경찰청에 따르면 한글 전자우편으로 유포된 최초의 랜섬웨어로, ▲예약 관련 문의 ▲회사 지원 ▲명함 제작 등의 내용이 담긴 한글 피싱 전자우편이다. 랜섬웨어는 전자기기 내 파일을 암호화하고 그것을 푸는 대가로 돈을 요구하는 악성코드를 뜻한다.

경찰창은 신종 랜섬웨어인 ‘비너스락커(Venuslocker)’ 랜섬웨어는 피해자 컴퓨터의 파일을 .venusp 혹은 .venusf 확장자로 암호화하며, 2016년 12월 말부터 국내 공공기관, 기업 등에 유포 중인 것으로 파악하고 있다.

기존에 영문 전자우편이나 취약한 누리집에서 랜섬웨어가 유포됐던 것과 달리, 랜섬웨어가 자연스러운 한글 전자우편 형태로 배포된 것은 이번이 최초다.

경찰은 지난 2월초 ‘여행업체에 여행 일정으로 위장한 랜섬웨어’ 유포 사례를 공개했다. 사례에 따르면 메일 문구는 “안녕 하세요 이창수라고 합니다. 이번 달 말쯤 해서 여행을 가려고 합니다. (중략) 자세한 일정이랑 관련해서 간단한 질문사항들은 워드에 정리를 하였습니다. 여권사진이랑 같이 첨부하니 확인하신 후 예약가능여부를 알려주세요. (중략) 답변메일 부탁드릴게요.~ 감사합니다.”라고 쓰여있다.

이에 대해 경찰청은 “해당 랜섬웨어는 암호를 풀기 위해서 가상화폐 1비트코인(현재 120만원 상당)을 72시간 이내에 입금할 것을 요구한다”며 “올해 사이버안전국 누리집에 총 10건의 ‘비너스락커’ 랜섬웨어 피해사례가 접수돼 수사 중”이라고 설명했다.

경찰청과 ㈜하우리 공동 분석에 따르면 비너스락커 랜섬웨어는 지난해 12월 말에 비트코인 지불을 위한 한글 안내 화면을 도입해 최초로 국내에 유입됐으며, 올해 1월 중순에는 악성코드 분석을 방해하기 위해 소스코드를 읽기 어렵게 바꾸 것(난독화 기능 추가)으로 확인됐다. 또한 2월에는 국내 맞춤형으로 .hwp의 확장자를 가진 한글문서 암호화 기능을 추가하는 등 성능이 계속 진화되고 있다고 경찰은 설명했다.

경찰은 “유포자가 피해자와 전자우편 답장을 주고받는 등 기존 사례와 차별화된 양상을 보이고 있으며, 특히 자연스러운 한국어를 구사한다는 점에서 한국인이 범행에 가담한 정황이 포착된다”면서 현재 해당 랜섬웨어에 대한 동일 신고 사건을 병합해 수사에 착수했다고 밝혔다. songbk@kukinews.com