한국인이 제작한 것으로 추정되는 ‘직소 카지노 꽁 머니 변종’ 발견
안녕하세요. 이스트시큐리티입니다.
한국인이 제작한 것으로 추정되는 '직소 카지노 꽁 머니 변종'이 악성파일이 발견되어, 주의가 필요합니다.
직소 카지노 꽁 머니는 전 세계적으로 잘 알려진 공포 영화 ‘쏘우(Saw)’에 등장했던 광대 마스크 ‘빌리 더 퍼펫’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있습니다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)가 발견한 이번 카지노 꽁 머니 변종은 광대 마스크 이미지 노출을 제외한 대부분의 특성이 기존 직소 카지노 꽁 머니와 흡사한 것으로 나타났습니다.
ESRC에 따르면 이번 카지노 꽁 머니에 감염되면 영화 쏘우의 범인이 TV를 통해 문장을 보여주며 인질을 협박했던 장면과 유사하게, PC 화면에 창을 띄우고 한글로 된 대화 형태의 안내문을 한 줄씩 순차적으로 보여주며 암호 해제(복호화)를 위해 비트코인 결제를 하도록 협박합니다.
또한 이 카지노 꽁 머니는 ‘헤... 게임을 시작해 볼까요?’라는 문장을 띄우고, 48시간이 지날 때마다 백 개의 파일이 반복적으로 삭제된다고 협박하는 등 인질과 탈출을 걸고 게임을 벌인 영화의 내용을 모방한 특성도 동일하게 가지고 있습니다.
ESRC는 사용된 한글 안내문이 감탄사, 이모티콘을 적절히 사용하는 등 원어민 수준에 가까운 완벽한 구어체로 작성되어 있고, 소스코드 분석 결과 주석, 폴더 경로 등에서 다량의 한글이 발견된 정황을 통해 한국인 개발자가 직접 개발에 참여한 것으로 추정하고 있습니다.
다만 해당 카지노 꽁 머니를 분석하던 시점까지는 실제로 파일 암호화가 진행되지 않았으며, 각종 제작상 오류(버그)도 발견되는 등 이번 변종은 테스트용으로 제작한 샘플일 가능성이 있는 것으로 보여집니다.
한국인터넷진흥원(KISA)은 “’카지노 꽁 머니 정보수집 허브운영 협력 채널’을 통해 이스트시큐리티 등 민간 보안 기업과 최신 카지노 꽁 머니 공격에 대한 정보를 실시간으로 공유하며, 카지노 꽁 머니 피해 확산 방지에 총력을 다하고 있다”며, “이같이 카지노 꽁 머니는 국가적인 차원에서 심각한 사이버 범죄로 주목하고 있기 때문에, 개인이 호기심으로 테스트용 카지노 꽁 머니를 제작하는 것만으로도 처벌을 받을 수 있으니 주의해야 한다”고 당부했습니다.
현재 통합 백신 알약(ALYac)에서는 이번 카지노 꽁 머니를 탐지명 ‘Trojan.Ransom.Jigsaw’로 진단 후 차단하고 있습니다.