"기술 몰라도 공격"…서비스형 랜섬웨어 비상

체크포인트, 암호화 랜섬웨어 '케르베르' 제작자 사례 분석

컴퓨팅입력 :2016/08/17 15:38    수정: 2016/08/17 15:50

유명 랜섬웨어 제작자가 주도하고 있는 '서비스형 랜섬웨어(Ransomware as a service)'가 기술적으로 무지한 사람들이 손쉽게 사이버범죄를 저지를 수 있는 수단으로 악용되고 있다.

'서비스형 랜섬웨어'의 일반적인 모델은 이렇게 요약된다. 공격자가 랜섬웨어로 돈벌이를 해보려 하는데 기술엔 '일자무식'이다. 그래서 유명 랜섬웨어 제작자에게 의뢰를 한다. 나도 하나 써 보자고. 제작자는 랜섬웨어를 하나 만들어 준다. 이제 랜섬웨어 공격을 수행, 피해자에게 감염시킨 뒤 돈을 요구한다. 피해자가 돈을 지불하면, 공격자와 제작자가 나눠 갖는다.

미국 지디넷은 16일(현지시각) 케르베르(Cerber) 랜섬웨어 제작자가 음지에서 이런 서비스형 랜섬웨어 사업을 활발히 벌이고 있다고 보도했다. 그들의 악성소프트웨어를 악의를 품은 고객들에게 판매하고, 댓가로 그들의 수익 40% 가량을 챙기고 있다는 내용이다. [☞참조링크: Ransomware-as-a-service allows wannabe hackers to cash-in on cyber extortion]

케르베르 랜섬웨어 제작자는 누구나 자신의 코드를 사서 사이버범죄자가 될 수 있는 길을 열어 두고 있다. [사진=미국 지디넷]

■ 한국에도 유입된 케르베르 랜섬웨어

앞서 글로벌 랜섬웨어 핵심표적이 개인을 넘어 기업으로 확산하고 있다는 시만텍의 진단이 있었던만큼, 한국과 미국을 비롯해 랜섬웨어의 피해 사례가 늘고 있는 국가의 시민과 기업들의 피해가 커질 수 있는 상황이다. [☞관련기사: "'디지털 인질' 랜섬웨어, 핵심표적은 기업"]

케르베르는 감염 시스템 파일을 암호화하고 '음성'으로 피해자에게 비트코인을 요구하는 암호화 랜섬웨어다. 앞서 안랩과 이스트소프트의 알약 등 보안솔루션 업체 공식블로그를 통해 국내에도 소개됐다. [☞참조링크: ASEC Threat Research & Response blog :: 음성으로 돈을 요구하는 Cerber 랜섬웨어] [☞참조링크: 알약 공식 블로그 :: 말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인]

보도에서 케르베르는 활발하게 활동하는 랜섬웨어 중 하나로 지목됐다. 보안업체 체크포인트는 자사 사이버시큐리티 연구원이 수집한 데이터를 근거로 지난 7월 한달에만 마이크로소프트 윈도 사용자 15만명이 이 랜섬웨어에 감염됐다고 주장했다. 케르베르가 이렇게 광범위하게 확산된 배경 중 하나로, 그 제작자가 자신의 코드를 범죄자들에게 팔아 그 수익의 40%를 되받는 행태가 꼽혔다.

일반적인 랜섬웨어 감염 시나리오에서 피해자는 디지털화폐 비트코인을 지불하게 된다. 지난 7월중 케르베르 랜섬웨어를 통해 발생한 수익 규모는 19만5천달러에 달할 것으로 추정됐다. 그중 7만8천달러가 케르베르 랜섬웨어 원본 제작자에게 돌아갔을 것이라는 계산이 나온다.

■너무나 손쉬운 공격

서비스형 랜섬웨어 공격 방식은 '사이버 사기꾼'들에게 랜섬웨어 감염 피해자로부터 금전을 쥐어짜내기 위해 필요한 모든 것을 제공한다. 올인원킷 형태로 기술에 일자무식인 사람들마저 사이버범죄에 끌어들일 수 있다는 점에서 이걸 '얼뜨기를 위한 랜섬웨어(ransomeware for dummies)'라 부를 수 있다고, 체크포인트 인텔리전스오퍼레이션 담당 매니저 마야 호로위츠는 언급했다. 그의 설명을 들어 보자.

"추정컨대 (랜섬웨어 제작자와 공격자의) 협력은, 고유한 랜섬웨어나 악성코드를 만들어주는 건 아니다. 공격자들에겐 (랜섬웨어) 제작자가 원하는만큼 지불할 의사가 있다. 이들에겐 (기술에 아무 지식이 없더라도) 케르베르 랜섬웨어 공격(campaign)을 관리하고, 일단위로 얼마나 많은 감염사례를 만들었는지 자세히 들여다보고, 얼마나 많은 사람들이 몸값을 지불해 그들이 얼마의 수입을 벌어들였는지 알 수 있게 해주는, 매우 사용자 친화적인 패널을 갖고 있다. 그야말로 얼뜨기들을 위한 랜섬웨어다."

돈만 내면 누구나 쓸 수 있게 열려 있다는 랜섬웨어 케르베르의 가용성(availability)은 또다른 성공적인 랜섬웨어로 평가되는 '록키(Locky)'와 차별화된다. 호로위츠 매니저는 록키가 단 1명의 공격자(threat actor)로부터 보내졌고, 그들은 그 코드를 독점했으며 외부에 공유 또는 판매하지 않았다고 설명했다.

보도는 록키보다 케르베르가 더 위험하다는 주장을 소개했다. 가장 흔한 랜섬웨어 감염 경로는 피해자가 피싱메일을 통해 정상적인 파일처럼 위장해 전달된 해로운 프로그램을 실행하게 유도하거나, 방문자 컴퓨터에 침투하기 위해 조작된 웹사이트를 통해 시스템을 감염시키거나, 이 2가지인데, 케르베르같은 사례는 랜섬웨어를 악용하려는 이들이 더 다양한 방법으로 피해자를 감염시킬 수 있다는 이유에서다.

■"케르베르 발원지는 러시아 추정"

인용된 연구내용에 따르면 현재 유효한 150건 이상의 케르베르 공격이 목표로 삼고 있는 사용자들의 지역은 201개국에 달하는데, 여기에는 한국, 미국, 타이완 등 랜섬웨어 데이터 복구를 위해 지불된 몸값의 절반 이상을 충단한 피해자들의 지역도 포함돼 있다.

반면 케르베르는 아르메니아, 아제르바이잔, 벨라루스, 그루지야, 키르기스탄, 카자흐스탄, 몰도바, 러시아, 투르크메니스탄, 타지키스탄, 우크라이나, 우즈베키스탄 등 지역을 감염 목표로 삼지 않고 있다. 모두 구 소련에 포함됐던 곳으로, 이는 케르베르가 러시아에서 개발됐을 가능성을 시사한다.

호로위츠 매니저는 케르베르에 대해 "확실히 러시아어권 국가를 (공격 대상에서) 배제하고 있다, 랜섬웨어에 부호화된 명령어는 (사용자 언어가) 러시아어로 설정된 기기를 찾을 경우 구동되지 않도록 돼 있다"며 "이는 그 제작자가 러시아에 본원을 두고 있을 것이라 짐작케 하는 요인이다"고 설명했다.

랜섬웨어를 추적하고 있는 보안연구원들은 '케르베르 2'라는 새로운 버전을 발견했다. 악성소프트웨어로서 향상된 부분들을 광고하며 지난달 배포되기 시작한 랜섬웨어다. 기존 케르베르처럼 다크웹(dark web)으로 분류되는 인터넷의 암시장같은 공간에서 예비 사이버범죄자들을 상대로 판매될 모양새다.

■체크포인트 "돈 주지 말고 복호화 툴 쓰라"

관련기사

다크웹 포럼의 배너와 마케팅을 통해 기존 케르베르 프로그램에 가세한 랜섬웨어 공격자들은 감염 피해자 가운데 최대 3% 가량이 손실된 데이터를 되찾기 위해 돈을 내려 한다고 주장한다. 반면 보안업체 체크포인트 측은 감염 피해자 가운데 0.3%만이 돈을 지불했다고 지적한다. 이 숫자가 높지 않아 보이지만 케르베르 제작자가 랜섬웨어 판매로 번 수익이 연간 100만달러에 달한다는 점은 그 전체 감염 사례의 규모가 결코 작지 않음을 의미한다. 이 돈은 계좌 추적을 피하기 위한 비트코인 계정 거래를 거쳐 효과적으로 세탁된다.

체크포인트 측은 케르베르와 맞서 싸우기 위해 이 랜섬웨어로 암호화된 데이터를 되살리는 복호화 툴을 무료로 배포하고 있다. 감염 피해자들이 공격자에게 억지로 돈을 내지 않고 잠긴 파일을 복호화할 수 있게 해 주는 도구다. [☞참조링크: CERBER RANSOMWARE DECRYPTION TOOL]