유로폴(유럽형사경찰기구), 네덜란드 경찰, 인텔시큐리티, 카스퍼스키랩이 랜섬웨어로 암호화당한 데이터를 복구하는 데 협력키로 했다.
26일 카스퍼스키랩은 자사를 포함한 IT보안업체와 사법기관의 국제 공조 프로젝트 '노모어랜섬(No More Ransom)'이 출범했다고 밝혔다.
랜섬웨어는 목표 대상 컴퓨터를 잠그거나 데이터를 암호화한 뒤 그 접근권을 되돌려주는 대가로 금전을 요구하는 데 활용되는 일종의 악성코드다. 유럽연합(EU) 회원국 3분의 2가 랜섬웨어 공격 수사를 진행하고 있으며, 랜섬웨어 공격은 개인뿐아니라 기업 및 정부 네트워크에도 피해를 주고 있다. 카스퍼스키랩은 자신들이 집계한 암호화 랜섬웨어 피해자 수가 13만1천명(2014-2015년)에서 71만8천명(2015-2016년)으로 약 5.5배 늘었다고 주장했다.
프로젝트는 대중에 랜섬웨어 위험성을 알리고 범죄자들에게 대가를 지불하지 않고 피해자들의 데이터를 복구하려는 목적에서 만들어졌다. 공식 웹사이트는 랜섬웨어 정의, 동작 원리, 예방책 등 사람들에게 도움이 되는 온라인 정보를 제공하기 위해 만들어졌다. 범죄자에 의해 암호화된 데이터를 일부 복구할 수 있는 도구도 제공한다. 2016년 6월 등장한 Shade 변종 등 최신 악성코드 복호화 도구를 포함해 여러 종류의 랜섬웨어 악성코드에 대비한 4가지 복호화 도구를 갖췄다.
카스퍼스키랩에 따르면 Shade는 2014년말 등장한 랜섬웨어로 악성웹사이트 감염 이메일의 첨부파일로 유포된다. 사용자 시스템에 침투해 저장된 파일을 암호화하고 대가를 요구하는 메시지를 보이면서 복구 절차를 안내하는 텍스트 파일을 생성한다. AES-256 암호화 알고리즘을 사용해 256비트 AES키 2개를 무작위 생성, 하나는 파일 내용을 암호화하는 데 쓰고 다른 하나는 파일명을 암호화하는 데 쓴다. 암호화된 각 파일을 복구하기 위해 파일마다 고유 키가 필요하다는 설명이다.
카스퍼스키랩은 인텔시큐리티와 함께 차단한 Shade 랜섬웨어 공격 시도가 2만7천건에 달하며 러시아, 우크라이나, 독일, 오스트리아, 카자흐스탄에서 감염 시도가 가장 잦았고 프랑스, 체코, 이탈리아, 미국에서도 그 활동이 발견됐다고 진단했다. 두 IT보안업체는 다른 기업, 기관과 협력해 범죄자가 복호화키 저장에 이용하던 Shade C&C 서버를 압수, 16만개 이상의 복호화 키를 포함한 Shade 전용 복호화 프로그램을 웹사이트에서 제공하고 있다.
네덜란드 경찰청의 윌버트 폴리센(Wilbert Paulissen) 국립범죄수사국장은 "랜섬웨어에 맞서는 건 경찰과 법무부, 유로폴, ICT 회사가 모두 책임 의식을 갖고 힘을 합쳐야 하는 문제"라며 "경찰과 카스퍼스키랩, 인텔 시큐리티의 공조를 진심으로 기쁘게 생각하고, 파일을 정당한 소유자들에게 돌려주기 위해 최선을 다할 것"이라고 말했다.
카스퍼스키랩 측은 더 많은 보안 회사들과 사법 기관들이 랜섬웨어와의 싸움에 동참해 프로젝트가 확장되기를 기대한다고 밝혔다.
관련기사
- "변종 랜섬웨어 유입, 바이러스 메일 전분기比 37.8%↑"2016.07.26
- 랜섬웨어 공격 급증…백업 솔루션 뜬다2016.07.26
- 랜섬웨어 '크립트XXX' 변종 해외서 다시 출몰2016.07.26
- 안랩, 랜섬웨어 잡는 이메일 보안 서비스 출시2016.07.26
인텔 시큐리티 라즈 사마니(Raj Samani) EMEA 최고기술책임자는 "프로젝트는 사이버 범죄와의 싸움에 있어서 기관과 보안 기업의 공조가 얼마나 중요한지 보여 준다"며 "이번 국제적인 합동 프로젝트를 통해 정보 공유와 소비자 교육, 용의자 체포를 넘어서 실제로 사용자들이 입은 피해를 복구할 수 있기를 기대하고 있다"고 말했다.
유로폴 윌 반 게머트(Wil van Gemert) 작전부국장은 "프로젝트는 사이버 범죄에 성공적으로 대항하려면 전문 지식과 수사력을 연계하는 일이 중요하다는 것을 보여 준다"며 "프로젝트를 통해 많은 사람들이 파일 접근 권한을 되찾는 동시에 경각심을 높이고 악성 코드로부터 컴퓨터를 지키는 방법을 교육하는 효과가 있기를 기대한다"고 말했다.