파이어아이, 록키 랜섬웨어 활동 재개
파이어아이, 록키 랜섬웨어 활동 재개
  • 김문구 기자
  • 승인 2016.07.11 10:40
  • 댓글 0
이 기사를 공유합니다

한국 사용자 대상 공격 집중…발신자가 불분명한 메일 첨부 파일 클릭 자제해야

[아이티비즈] 파이어아이(지사장 전수홍)가 6월 동안 잠시 활동이 주춤했던 록키(Locky) 랜섬웨어가 보안 솔루션을 우회하는 기술을 탑재하며 더욱 위협적으로 활동을 재개했다고 11일 밝혔다.

▲ 2016년 록키 랜섬웨어의 스팸 활동

파이어아이에 따르면, 올해 6월 1일까지 록키 랜섬웨어는 스팸 메일을 통해 가장 많이 유포되는 랜섬웨어로서 악명을 높였다. 그러나 1일 이후 3주 간 정체기를 가지며 활동이 잠잠해지는 듯 했으나. 자바 스크립트 다운로더와 록키 페이로드 등을 업데이트하며 더욱 위협적으로 활동을 재개했다.

록키 랜섬웨어는 특히 한국의 사용자를 대상으로 공격을 집중하고 있어 국내 기업 및 사용자들의 주의가 요구된다. 실제로 파이어아이가 밝힌 지난 6월 21일부터 23일 사이 국가별 탐지 내역을 살펴보면 한국은 일본, 미국에 이어서 록키 랜섬웨어의 스팸 이메일이 가장 많이 유포된 국가였다.

▲ 2016년 6월 21-23일 록키 랜섬웨어 국가별 스팸 유포 현황

록키 랜섬웨어가 유포하는 스팸 메일은 흔히 미지불된 인보이스를 송부하는 메일을 가장하고 있다. 그러나 첨부된 ZIP 파일에는 인보이스 대신 자바 스크립트로 쓰여진 록키 다운로더를 포함하고 있어, ZIP 파일을 확인하려 실행하면 록키 랜섬웨어에 감염되는 것이다.

파이어아이에 따르면, 이번에 활동을 재개한 록키 랜섬웨어는 다운로더와 록키 페이로드에 몇 가지 업데이트가 이루어졌다.

▲ 록키 랜섬웨어의 스팸 메일

전수홍 파이어아이 지사장은 “록키의 스팸 메일 유포는 기존의 보안 솔루션을 우회하며 지속되고 있다. 특히, 국내 기업 및 사용자는 록키 랜섬웨어의 주요 타깃이 됨에 따라 더욱 주의가 요구된다“며 “랜섬웨어가 진화를 거듭함에 따라 기업 내 보안 인식 수준도 지속적으로 높아져야 한다. 무엇보다 사용자들은 발신자가 불분명한 메일의 첨부 파일 클릭을 자제해야 한다.고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.