13일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 네덜란드 보안 업체 테소리온 연구원들은 넴티 랜섬웨어 버전 1.4, 1.6용 복호화 툴을 개발했다. 조만간 1.5 버전도 공개할 예정이다.
넴티 랜섬웨어는 지난 8월 말 처음으로 유포됐다. 공격자는 네이버, 다음 메일 계정을 활용했다. 압축파일 형태의 악성 첨부파일을 통해 랜섬웨어를 유포하는 방식이다. 사용자가 파일을 실행하면 랜섬웨어에 감염되고, 파일이 암호화된다.
현재 복호화 툴은 일부 파일 확장자만 지원하고 있다. 다행인 것은 오피스 문서, 영상, 이미지 등 자주 사용하는 파일을 해독할 수 있다. 테소리온은 복호화 파일 유형을 추가하고 있다.
복호화 툴은 테소리온 CSIRT 측에 연락해 넴티 랜섬웨어 복호화 툴을 요청하면 된다. 테소리온은 복호화 툴을 ‘노모어랜섬’ 사이트에 게시하는 것을 추진하고 있다. 노모어랜섬 사이트는 복호화툴을 무료로 제공하는 곳으로, 보안기업과 전세계 사법기관 등이 참여하고 있다.
넴티 랜섬웨어는 주로 입사지원서 메일을 사칭한 공격을 벌였다. 하반기 채용 시기를 노린 맞춤형 공격이다. 주된 방식으로 메일에 “채용 글보고 지원 메일 드린다”며 “이력서와 포트폴리오를 보내니 확인부탁드린다”며 첨부파일 실행을 유도하는 방식이다.
최근엔 공정거래위원회 사칭 공격도 발견됐다. 공정위의 특정 사무관을 사칭해 ‘전자상거래 위반행위 조사 통지서’ 메일을 유포하는 방식이다. 메일에는 정부 공문 포맷 이미지를 활용한 첨부파일이 포함됐다. 마찬가지로 파일을 실행할 경우 랜섬웨어에 감염된다.
ESRC는 넴티 랜섬웨어 배후로 비너스락커 조직을 지목했다. 비너스락커 조직은 한국인 수준의 언어 실력과 사회공학적 기법에 기반한 공격을 하는 것이 특징이다. 보안 업계에서는 특정 정부의 지원을 받는 공격 그룹으로 보고 있다.
비너스락커는 입사지원서 사칭 등 기존 공격과 유사한 소재를 활용한 악성메일 유포 방식을 활용하고 있다. 다만 유포하는 랜섬웨어 종류를 다변화시키고 있다.
ESRC 측은 주로 메일을 활용해 사이버 공격이 이뤄지고 있다며 사용자들의 주의를 당부했다. 문종현 ESRC 센터장은 “국가 기관에서 발송된 메일인데 메일주소가 일반 사이트 도메인일 경우 의심해 볼 필요가 있다”며 “첨부파일의 백신 검사를 진행해야 하며, 첨부파일은 미리보기 기능을 활용해 내용을 확인할 수 있다”고 전했다.