하쿠나 마타타 랜섬웨어
사용자 파일을 암호화해 사용을 제한하며, 복구를 위해 금전적 보상을 요구하는 형태의 공격을 시도하는 악성 코드로 2023년 7월에 등장했다.
하쿠나 마타타는 영화 ‘라이온 킹’의 대사다. ‘모두 잘될 것이다’라는 뜻이다.
하쿠나 마타타 랜섬웨어에 감염된 PC에서는 MS 오피스 프로그램 등이 모두 강제로 종료된 뒤 암호화가 이뤄진다. 암호를 풀고 시스템을 사용하기 위해선 72시간 내에 해커에게 연락하라는 내용의 메모만 열 수 있다. 메모엔 암호화된 파일을 영영 못 쓰는 것은 물론이고, 해킹 과정에서 빼낸 정보를 다크웹(일반적으로는 접속할 수 없는 암호화된 인터넷망) 등 온라인에 공개하겠다는 협박도 담겨 있다.
하쿠나 마타타 랜섬웨어의 또 다른 특징은 ‘비트코인 지갑 주소 가로채기’ 공격이다. 지갑 주소는 은행 계좌번호와 비슷하다. 금융회사의 도움 없이 각 개인이 만들 수 있다. 지갑 주소는 영문 대·소문자와 숫자 30자리를 무작위로 섞는 방식으로 만들어 비트코인 지갑 주소를 외우는 것이 현실적으로 불가능하다. 대부분 사용자는 PC 내 메모장 파일 등에 이를 적어두고 비트코인 거래를 할 때마다 해당 지갑 주소를 복사, 붙여넣기 해 사용한다.
하쿠나 마타타 랜섬웨어는 비트코인 지갑 주소를 복사하는 순간을 감지해 가로챈다. 예를 들어 복사하려는 비트코인 지갑 주소(A)가 있다면, 이걸 복사 붙여넣기 하는 순간 해커가 숨겨둔 별도의 비트코인 지갑 주소(B)가 입력되는 방식이다.
하쿠나 마타타 랜섬웨어를 적발한 안랩 ASEC(시큐리티대응센터) 관계자는 “감염된 시스템에서 비트코인을 거래할 경우 본인이 원하는 주소가 아니라 해커의 지갑 주소로 거래가 이뤄질 위험성이 있다”고 지적했다. 다만 아직 비트코인 거래 피해 사례는 나오지 않았다.
보안업계 전문가들은 하쿠나 마타타를 포함한 랜섬웨어 감염을 막기 위해서는 신원이 확인되지 않은 사람이 보낸 업무 문의, 견적서, 자문 요청 등의 이메일 첨부파일을 절대로 열지 말라고 권고한다.