랜섬웨어뉴스

산업제어시스템(ICS)을 공격하기 위해 개발된 랜섬웨어가 등장함에 따라 보안업계가 잇따라 분석을 내놓고 있다. 이 랜섬웨어는 '에칸스(EKANS)'로 지난해 12월 발견됐다. 거꾸로 읽은 '스네이크(SNAKE)'로도 불린다.​

사이버보안 기업 드라고스는 지난 3일 랜섬웨어 에칸스에 대해 이같은 내용을 담은 보고서를 발표했다. 보고서에 따르면 산업 현장에서 활용되는 윈도 기반 시스템을 표적으로 삼고 있다.​

에칸스는 윈도 시스템 폴더 일부를 제외한 파일 암호화를 시도한다. 파일을 암호화할 때 에칸스는 파일 확장자에 문자 5개를 추가한다. 암호화된 파일 내용 끝에는 'EKANS'라는 문자가 입력된다. 이와 함께 복호화 비용 지불 협상을 위한 이메일 주소를 기록한 랜섬노트를 제공한다.​

에칸스는 파일 암호화를 실시하기 전 하니웰, 제너럴 일렉트릭, GE화낙 등의 산업 기기에서 사용하는 64개 프로세스를 강제로 종료시킨다. 이는 지난해 발견된 랜섬웨어 '메가코텍스'에서도 나타났던 특징이다.​

에칸스에 대해 드라고스는 에칸스의 공격 대상이 매우 좁고, 공격의 수준이 높지 않다고 평가했다. 단순히 프로세스를 종료시킬 뿐, ICS 내 시스템을 조작하는 등의 공격은 나타나지 않았기 때문이다.​

[ 지디넷코리아 ] 김윤희 기자​원문보기