마인크래프트 플레이어 겨냥한 랜섬웨어 일본서 발견

마인크래프트 플레이어를 노린 것으로 추정되는 새로운 유형의 랜섬웨어가 일본에서 발견됐다. 랜섬웨어는 컴퓨터에 저장된 파일을 암호화하고 피해자에게 몸값을 요구하는 악성 프로그램을 말한다.

이번에 새로 발견된 변종 ‘카오스’ 랜섬웨어는 문서, 사진, 동영상, 음악 파일을 암호화하는 것에 그치지 않고 파일을 영구적으로 파괴한다. 피해자가 몸값을 지불해도 데이터의 복구 가능성이 없으므로 더욱 주의가 필요하다.

알트 계정 목록으로
위장한 랜섬웨어,
일본 마인크래프트 포럼에 등장

28일(태평양 하계 표준시) 사이버 보안 업체 포티넷이 발견한 이 랜섬웨어는 ‘알트 계정’을 찾는 마인크래프트 플레이어를 노렸다. 알트 계정은 대안을 뜻하는 영어 단어 ‘alternative’의 첫 3글자를 따서 만든 용어로, 마인크래프트에서 본 계정 대신 사용하는 계정을 의미한다.

사전적 정의만 보면 알트 계정은 ‘부 계정’ 또는 ‘부캐’와 비슷해 보이지만, 타인의 마인크래프트 계정을 불법적으로 해킹해 소유권을 강탈한 계정이라는 점에서 차이가 있다. 알트 계정 이용자들은 핵 프로그램 사용에 따른 제재의 회피를 목적으로 알트 계정을 사용한다.

공격자는 알트 계정 이용자들이 무료로 알트 계정의 아이디와 비밀번호를 알고 싶어 한다는 점을 악용했다. 알트 계정의 아이디와 비밀번호를 목록화한 텍스트 파일로 위장한 랜섬웨어를 일본 마인크래프트 포럼에 게시했다. 이 파일은 실행 파일이지만 메모장과 같은 아이콘을 사용하기 때문에 잠재적 피해자는 랜섬웨어를 평범한 텍스트 파일로 속을 수 있다.

위력적인 파괴력을
지닌 랜섬웨어

멀웨어가 실행되면 멀웨어는 시스템에서 2,117,152바이트(약 2메가바이트)보다 작은 용량의 파일을 검색하고 암호화한다. 그런 다음 영숫자 4자리로 구성된 확장자를 암호화된 파일에 추가한다.

암호화를 진행하는 동안에는 비트코인이나 기프트 카드로 몸값을 지불하라는 내용이 적힌 ReadMe.txt 파일을 바탕 화면에 생성하고 같은 내용이 적힌 사진을 월페이퍼로 설정한다.

공격자가 이 멀웨어를 통해 몸값으로 요구하는 금액은 2,000엔(약 2만 원)으로, 랜섬웨어가 일반적으로 요구하는 금액보다 훨씬 저렴하다.

하지만 이 랜섬웨어의 파괴력은 매우 크다. 2,117,152바이트보다 큰 용량의 파일에 대해서는 임의의 문자열을 삽입해 변조한다. 변조된 파일은 규칙성 없는 문자열이 삽입돼 있어 피해자가 몸값을 지불해도 복구가 불가하다.

또한 시스템에 저장된 볼륨 섀도 복사본을 삭제해, 피해자가 백업본을 사용할 수 없게 만든다. 불행 중 다행이라면 이 멀웨어에는 감염된 시스템에서 데이터를 유출하는 코드는 포함되지 않았다.

보안 연구원은 공격자가 이같이 공격하는 이유를 알아내지 못했지만, 와이퍼 악성코드였던 카오스가 랜섬웨어의 형태로 발전한 것은 눈 여겨 볼 만한 일이라고 평가했다.

한 번 감염되면
돌이킬 수 없다

금번 일본 마인크래프트 포럼에서 발견된 변종 카오스 랜섬웨어는 비교적 값싼 몸값을 요구한다. 그러나 시스템 데이터를 파괴하고 복구할 수 없게 만든다는 점에서 단순한 장난으로 치부하기 어렵다.

포티넷의 보안 연구원 Shunichi Imano와 Fred Gutierrez는 “이런 랜섬웨어에 감염되면 피해자는 몸값 지불 여부에 관계없이 원본 파일을 되찾지 못할 수 있다”며, “피해를 예방하려면 게임에 핵을 이용하지 않고 정석대로 게임을 즐겨야 한다”고 말했다.