웹사이트 주소 오타 시 랜섬웨어 감염 사례

오늘 설명드릴 보안 이슈는 웹 브라우저에서 네이버나 페이스북 같은 유명 웹사이트의 주소를 잘못쳐서 랜섬웨어에 감염되는 사례입니다. 이전 문장을 제대로 읽은게 맞나 싶기도 할텐데, 정확하게 보신 것이 맞습니다. 이제는 웹 브라우저에서 주소만 잘못 입력해도 랜섬웨어에 감염이 될 수 있다고 하는데요. 물론 이번 사례는 윈도우 XP처럼 구닥다리 웹 브라우저를 사용해야지 감염되는 거지만, 여전히 몇몇 곳에서는 노후된 운영체제와 웹 브라우저를 사용하는 곳이 있다는 점이 문제겠죠. 그럼 어떻게 랜섬웨어에 감염이 되는지에 대해 설명드려보도록 하겠습니다.

​

우선 간단하게 랜섬웨어 감염 과정부터 말씀드리면, 해커는 사용자가 유명한 포털의 사이트 주소를 잘못 입력하는 것을 노립니다. 우리가 웹 브라우저에서 네이버를 "naver.com"이 아닌 "naevr.com"처럼 입력하거나 구글을 "gooogle.com"처럼 잘못 입력하는 건 종종 있는 일이죠. 해커는 미리 "naevr.com"이나 "gooogle.com" 주소에 대한 피싱 사이트를 만들어 놓고, 사용자가 접속하면 웹 브라우저에 대한 정보를 얻어냅니다. 그래서 사용자의 운영체제가 윈도우면서 웹 브라우저가 특정 취약점을 가진 오래된 버전이라면, 해당 취약점을 이용해 자동으로 랜섬웨어가 실행되도록 만들어 PC를 감염시키죠. 일종의 드라이브 바이 다운로드(Drive-by Download) 취약점을 이용한다고 보시면 될 것 같습니다.

​

그런데 말이죠.. 여기서 해커가 어떻게 사용자의 웹 브라우저 종류와 운영체제 환경을 알 수 있을까요? 그건 바로 웹 브라우저의 User-Agent라는 녀석 때문입니다. User-Agent는 쉽게 말해서 자신이 사용하고 있는 웹 브라우저의 식별 정보라고 보시면 되는데요. 이 정보는 HTTP 헤더에 적힌 정보이기 때문에 웹 서버에서 볼 수 있는거죠. 일반적으로 오래된 IE를 사용하면 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"와 같이 표시되는데, 여기서는 "MSIE"로 IE 브라우저를 사용하는 것과 "Windows NT 6.1"로 운영체제의 커널 버전임을 해커가 확인할 수 있습니다.

​

또한 이를 통해 감염되는 랜섬웨어에는 매그니베르라고 하는 랜섬웨어인데요. 이 랜섬웨어의 경우 오로지 한국어로 설치된 운영체제에서만 실행되고, 그 외에는 실행을 해도 자가삭제를 하도록 설계되어 있는 특징을 가지고 있습니다. 이러한 특징으로 보아 아마도 북한에서 만든 랜섬웨어가 아닐까 생각되는데요. 단정 지을 수는 없지만 이전부터 북한에서 우리나라를 타겟으로 한 공격은 많이 있었기 때문에 이 정도면 합리적인 의심이겠죠. 최근 들어서 공격의 빈도가 증가하고 있기 때문에 보안 업계에서도 이에 대해 촉각을 곤두세우고 있다고 합니다.

 

ㅁㅁㅁ

네이버나 페이스북 등 유명 웹사이트 주소 오타내면 랜섬웨어 감염된다

 

이 글을 읽으시고 주소를 잘못 입력하는 것 때문에 신경쓰이실지 모르겠는데요. 보통은 취약점이 많이 발견된 구버전의 인터넷 익스플로러에서 많이 발생하기 때문에 너무 걱정은 안하셔도 될 것 같습니다. 이전 글인 "인터넷 익스플로러 지원종료 대응 방안"에서도 설명드렸듯 이 때문에 MS에서 자체적으로 IE에 대한 지원을 종료하기로 했죠. 물론 아직 공공기관이나 병원 같은 곳에서는 XP를 사용하는 곳도 있어서, 충분히 감염될 수 있는 여지가 있지만 점차 바꿔나가고 있으니 나아지지 않을까 생각합니다. 이에 대응하기 위한 방법은 말씀드리지 않아도 다 아시겠지만, 항상 백신을 최신으로 업데이트하는 것은 물론 웹 브라우저도 최신 버전으로 유지하는 것이 중요할겁니다. 자.. 그럼 오늘은 여기서 마치도록 하죠. 감사합니다.