랜섬웨어 해커, 돈낸 피해자 재협박했다

코브웨어 "유출한 데이터 보관 후 추가 금전 요구 사례 발견"

컴퓨팅입력 :2020/11/10 15:06

랜섬웨어 해커들이 데이터 복호화 비용을 요구하면서, 동시에 기기에서 탈취한 데이터를 공개하겠다고 협박하는 경우가 늘고 있다. 그런데 피해자가 비용을 지불해도 탈취한 데이터를 삭제하지 않고, 오히려 이를 빌미로 재협박을 한다는 조사 결과가 나왔다.

랜섬웨어 사고 대응 전문 기업 코브웨어는 지난 4일 발표한 3분기 랜섬웨어 사고 대응 동향 보고서를 통해 이같이 밝혔다.

코브웨어에 따르면 3분기 동안 발생한 랜섬웨어 감염 사고 중 절반은 데이터가 암호화되기 전 해커에게 데이터가 탈취됐다. 이는 전분기보다 두 배 가량 증가한 수치다.

피해자 데이터 탈취에 성공한 경우 랜섬웨어 해커는 데이터 복호화 겸 탈취 데이터 삭제에 따르는 대가로 금전을 요구한다.

그러나 코브웨어는 랜섬웨어 '소디노키비' 운영자가 피해자로부터 금전을 받고 몇 주가 지난 후, 탈취한 데이터를 공개하겠다며 다시 금전을 요구한 사례들을 포착했다고 밝혔다.

실제로 복호화 비용을 받은 뒤 피해자 데이터를 공개한 사례도 발견됐다. 코브웨어는 랜섬웨어 '넷워커', '메스피노자' 랜섬웨어 운영자가 금전을 지불한 피해자의 데이터를 데이터 유출 전용 사이트에 게시했다고 지적했다.

이는 고의는 아닌, 기술 상의 실수로 나타난 결과일 확률이 높다는 게 코브웨어 보안 연구팀의 분석이다. 그러나 결과적으로 해커가 금전을 받더라도 피해자 데이터를 삭제하지 않는다는 사실이 드러난 셈이다.

그 외 피해자에게 데이터를 삭제한 것처럼 위조한 증거를 보내는 경우도 포착됐다.

랜섬웨어 '메이즈', '세크메트', '이그레고르' 피해 사례에서 피해자에게 데이터 유출 사실을 알리기 전, 실수로 자체 운영 사이트에 유출한 데이터를 게시하는 경우도 발견됐다. 세크메트와 이그레고르는 메이즈에서 파생된 랜섬웨어로 추정되고 있다.

관련기사

메이즈 계열 랜섬웨어 중에서는 복호화 비용을 지불받은 피해자 데이터를 실수로 메이즈 전용 데이터 유출 사이트에 올리는 경우도 존재했다.

코브웨어는 "복호화 키를 위한 협상과 달리, 탈취된 데이터에 대한 협상은 끝이 없다"며 "복호화 키는 한 번 받으면 기능이 저하되지도 않고, 해커가 키를 뺏을 수도 없지만 탈취된 데이터는 해커가 미래에 다시 금전을 갈취하기 위한 수단으로 사용할 수 있다"고 언급했다.