[디지털데일리 홍하나기자] 지난 4월 등장한 새로운 랜섬웨어가 공정거래위원회를 사칭한 악성메일 공격을 퍼붓고 있다.

12일 보안업계에 따르면 최근 새롭게 부상하고 있는 랜섬웨어 일종인 ‘소디노키비’가 공정위 사칭 악성메일을 통해 유포되고 있다.

이번에 발견된 공정위 사칭 악성메일은 ‘[공정거래위원회] 전자상거래 위반행위 조사통지서(2019.07.10.)’라는 제목으로 유포 중이다. 메일에는 ‘붙임. 전산 및 비전산 자료 보존요청서 1부’라는 파일도 첨부됐다.

만약 사용자가 이 파일을 클릭해 실행할 경우 ‘소디노키비’ 랜섬웨어에 감염된다. 이 랜섬웨어는 사용자 PC의 바탕화면을 파란색 화면으로 바꾸고, 파일을 암호화한다.

특히 이번 메일은 발신자가 공정위의 특정 사무관 이름으로 되어 있어, 악성메일 구별에 혼란을 준 것으로 보인다.

실제로 이 메일을 받은 직장인 A 씨는 "입사지원서 사칭, 이미지저작권 위반 등 평소 다양한 악성메일을 받고 있지만, 주의를 해 메일을 곧바로 삭제하는 편“이라면서도 ”하지만 이번에는 특정 사무관의 이름으로 메일이 온 만큼, 순간적으로 메일을 클릭할 뻔 했다“고 전했다.

이에 공정위에서는 “해당 해킹메일을 절대 열람하지 말고 삭제할 것”을 당부했다. 또 발신자인 임진홍 사무관은 가상의 인물이라고 밝혔다.

공정위는 “법위반행위 조사와 관련된 조사공문을 이메일로 발송하지 않으며, 조사현장에서 공무원증 제시와 함께 서면으로 전달한다”고 강조했다.

국내 보안기업 이스트시큐리티에 따르면, 이와 유사한 소디노키비 랜섬웨어 공격이 급증하고 있다. 새로운 랜섬웨어의 일종인 소디노키비는 지난 4월 발견됐다. 감염될 경우 파일 암호화뿐만 아니라 백업 파일까지 삭제한다.

견적의뢰 요청, 입사지원서, 금융회사 등을 사칭한다. 최근에는 NH농협 보안담당자 메일로 위장하는 등 다양한 방식으로 공격을 진행 중이다.

이스트시큐리티는 최근 소강상태를 보이고 있는 갠드크랩 랜섬웨어와 소디노키비 랜섬웨어의 운영자가 동일인물일 것이라고 봤다.

문종현 이스트시큐리티 이사는 “소디노키비 랜섬웨어가 공격방식, 코드 유사점, 활용하는 서브도메인, 감염제외대상 언어팩, 연결되는 유포 시기 등 다방면에서 기존 갠드크랩 랜섬웨어와 유사한 형태를 보인다”며, “소디노키비 랜섬웨어는 갠드크랩 랜섬웨어와 동일한 공격 그룹이 운영하는 것으로 판단 된다”고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr