한국인터넷진흥원(KISA)이 1월 25일 KISA 인터넷 보호나라&KrCERT 사이트를 통해 새로운 랜섬웨어 아나토바(Anatova)가 미국, 유럽 등 9개국에서 확산되고 있다고 경고했다.  

KISA는 새로운 랜섬웨어 아나토바의 등장으로 미국을 비롯해 9개국 이상에서 피해자가 다수 발생했다며 보안업체 맥아피가 난독화 기능이 뛰어나고 네트워크 공유자원까지 감염시킬 수 있는 아나토바의 등장에 대해 경고했다고 설명했다. KISA는 아나토바 랜섬웨어가 모듈 구조로 돼 있어 공격자들이 추가로 기능을 덧붙일 수도 있는 점도 위협적이라고 분석했다.
 
KISA에 따르면 아나토바는 비밀 P2P에서 처음으로 발견됐으며 사용자들이 의심하지 않고 받게 하기 위해 게임이나 앱의 아이콘으로 위장하고 있다. 또 사전 탐지를 피하기 위해 다양한 행동을 취하며, 감염된 시스템 내에서 최대한 많은 파일을 찾아내 암호화시킨다. 아나토바에 감염되면 이후 700달러 상당의 암호화폐를 송금하라는 협박 편지를 띄워 사용자들에게 돈을 요구한다.

KISA는 시리아, 이라크, 인도 및 이전 소비에트 연방 소속국가 등에는 피해를 일으키지 않도록 아나토바가 설계됐다고 밝혔다.

또 아나토바는 랜섬웨어는 샘플마다 고유한 키를 가지고 있기 때문에 마스터키가 존재하지 않으며 이에 따라 피해자들마다 각각 다른 키를 확보해야만 랜섬웨어 감염 파일 복구가 가능하다는 지적이다.

이 악성코드는 메모리를 비워 랜섬웨어 정보를 파악할 수 있는 내용을 삭제하고 백업파일을 10회 이상 덮어쓰기해 사용자가 복호화 키 없이는 복구할 수 없도록 한다. 맥아피는 아나토바가 완성형 멀웨어가 아닌 프로토 타입으로 추정하며, 이후 더 진화된 랜섬웨어 공격이 실행될 것으로 예상하고 있다.

KISA는 랜섬웨어 공격 예방을 위해서 의심되는 파일 열람을 금지하고 오프라인 백업 등의 조치를 취해야 한다고 지적했다.

강진규 기자  maddog@nkeconomy.com