평양·주체 해커들이 또? 매트릭스 랜섬웨어 재등장

매트릭스 랜섬웨어 최신 버전 등장... 지난해부터 지속적으로 국내 유포
공격자, 파일 복구하려면 큐큐·지메일·야후 계정으로 연락하라며 유도
평양·주체 등 문구가 들어간 매트릭스 랜섬웨어 유포사례와 유사

[보안뉴스 김경애 기자] 매트릭스 랜섬웨어의 최신 버전이 새롭게 등장했다. 해당 랜섬웨어에 따른 감염 피해가 국내에서 발생하고 있어 이용자들의 각별한 주의가 필요하다.

▲매트릭스 랜섬웨어 최신 버전 감염 화면[이미지=보안뉴스]

매트릭스 랜섬웨어는 웹사이트에 방문만 해도 감염되는 드라이브 바이 다운로드(Drive-by-Download) 방식으로 유포된다. 공격도구인 ‘선다운(Sundown)’ 익스플로잇 킷(Exploit Kit)을 통해 피해가 확산되고 있다.

이러한 가운데 지난 주말 매트릭스 랜섬웨어 최신 버전이 출현해 국내에서 감염 피해가 발생했다. 매트릭스 랜섬웨어 최신 버전에 감염된 화면을 보면 ‘모든 파일은 RSA-2048 crypb로 암호화되었다’며 ‘파일을 복원하려면 큐큐와 야후, 지메일 계정으로 연락하라’는 메시지가 떠 있다.

해당 랜섬웨어가 무엇보다 주목되는 점은 이전에 본지가 여러 차례 보도한 바 있는 평양·주체 등의 문구가 들어간 매트릭스 랜섬웨어 유포사례와 매우 유사하다는 점이다. 앞서 매트릭스 랜섬웨어 유포 해커는 2017년 5월과 7월, 10월 11월 12월에 지속적으로 유포한 바 있다. 그 이후 올해 재등장한 것. 당시 공격자는 네이버 및 지메일과 야후 계정을 사용했으며, 매트릭스 랜섬웨어 변종과 헤르메스 랜섬웨어 등을 국내에 유포한 전력이 있는 것으로 드러났다.

당시 보안전문 업체 체크멀이 분석한 기존 매트릭스 랜섬웨어의 경우 최초 암호화 대상 파일 확장명은 엑셀(Excel) 문서(.xls, xlsx)였는데, 이후 한글 문서 파일로 변경되면서 한국에 최적화된 매트릭스 랜섬웨어 변종이 됐다고 밝혔다.

이에 따라 이번에 유포된 매트릭스 랜섬웨어가 기존 랜섬웨어와 어떤 차이점이 있는지, 그리고 한동안 잠잠했던 매트릭스 공격자가 유포를 본격적으로 재개한 것인지 등도 관심이 모아지고 있다.

위협정보를 공유 및 서비스하는 제로써트는 “사이버 범죄자들은 악성코드 유포 확률을 높이기 위해 새로운 기법을 끊임없이 적용하고 있다”며 “웹사이트, 광고 배너, 이메일, 메신저 등을 유포 창구로 활용하고 있다. 계속 변종이 생겨나는 랜섬웨어를 예방하기 위해서는 OS, 백신 등 소프트웨어 정기 업데이트와 출처가 불명확한 메일 및 링크 클릭에 주의해야 한다”고 당부했다.

특히, 매트릭스 랜섬웨어는 원격 데스크톱을 이용하고 있는 만큼 사용하지 않는 원격 데스크톱 서비스는 해제하고, 추정하기 쉬운 계정 정보의 경우 패스워드 변경을 통해 피해를 최소화할 수 있다고 밝혔다.

누리랩 최원혁 대표는 “선다운 익스플로우잇 킷은 어도비 플래시 플레이어 취약점”이라며 “버전이 낮은 IE를 활용할 경우 인터넷을 통해 랜섬웨어에 감염될 가능성이 있다. 따라서 최신 플래시 플레이어 및 IE로 업데이트를 해야 한다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)