2015년을 강타했던 랜섬웨어 : 혁신의 아이콘 4

2015-12-28 10:51
  • 카카오톡
  • 네이버 블로그
  • url
코딩의 고도화로 복호화도 어려워지고 사업 응용력도 늘어

[보안뉴스 문가용] 랜섬웨어 산업으로 진출한 사람들에겐 올해가 커다란 수확의 해였다. 그만큼 보안 업계에겐 머리가 패일 정도로 골치 아픈 해였고 말이다. 랜섬웨어의 풍년 속에 어떤 놈들은 아무런 내용물 없이 그저 위협만 랜섬웨어 식으로 포장해서 수익을 거두기도 했고, 어떤 놈들은 실제 엄청나게 위험했다. 기관 및 기업들의 30%가 랜섬웨어의 위협에 실제로 돈을 낸 적이 있으며 여기에는 심지어 경찰조직들도 포함된다. 아무도 랜섬웨어를 해결해주지 못했기 때문이다.



더욱이 랜섬웨어 제작자들의 코딩 능력만 빛난 한 해가 아니었다. 이들은 랜섬웨어를 가지고 사업마저 능수능란하게 하기 시작했다. 그렇다면 그 무수히 많았던 랜섬웨어 중 특별히 파장이 컸던 것에는 무엇이 있었을까? 2015년을 흔들고 랜섬웨어의 전성기를 가져오는 데 한 몫 한 주요 랜섬웨어들을 모아보았다.

1. 팩맨(Pacman)
불특정 다수가 아니라 소수의 표적들만 집요하게 노린 랜섬웨어로, 특이하게도 덴마크의 척추지압사들이 많은 피해를 보았다. 동네에 새로 이사 왔는데 몸이 안 좋아 지압을 주기적으로 받아야 하는데, 오랫동안 거래할 만한 곳을 찾는다는 피싱 메시지에 자신의 의료정보이니 도움이 될 만한 사람을 찾는 데에 참고해달라고 첨부해 놓은 이미지 파일이 랜섬웨어였다.

팩맨 랜섬웨어는 지워내는 데에도 무척 까다로웠다. 지우려고 하는 순간 ‘킬 기능’이 활성화되어 태스크 매니저와 같은 윈도우의 각종 기능들이 강제로 셧다운 되었기 때문이다.

2. 톡스(Tox)
톡스는 처음으로 랜섬웨어의 또 다른 사업방향을 제시한 예다. 제작자들이 톡스를 구축하고 사용하게 해주는 툴킷을 무료로 배포해 아무나 랜섬웨어 공격을 사용할 수 있도록 하는 대신 호스팅 사이트에서 20%의 수수료를 받았기 때문이다. 고기는 무료지만 대신 자릿세를 받는 느낌이랄까.

톡스 랜섬웨어 자체는 그다지 대단하거나 기술력이 놀라운 수준은 아니었다. 다만 사용이 굉장히 쉬웠다는 것이 혁신적이었다. 톡스를 사용해보고 싶은 사람들은 토르 네트워크에서 익명으로 운영되는 톡스 웹 사이트에 등록한 후 피해자에게 요구하고 싶은 금액을 비트코인으로 입력하고 서버를 통해 랜섬 메시지(협박 메시지)를 비트코인을 받을 계좌번호와 함께 보내면 되었다.

3. 키메라(Chimera)
키메라가 처음 등장한 건 9월이다. 그리고 몇 달에 걸쳐 톡스처럼 서비스형 랜섬웨어 사업모델이 등장하고 50%라는 수수료를 받기 시작했다. 키메라가 독특했던 건 새로운 잠재 랜섬웨어 사업자이자 자신들에게 한 번 당해봤던 피해자들에게 ‘너도 랜섬웨어를 사용해서 돈을 벌어 봐’라는 메시지를 보내, 마치 피라미드 사업하듯이, 하위 사업자들을 모았다는 것이다.

그 메시지와 접근대상 자체가 ‘혁신’이다. “우리 프로그램을 누구보다 먼저 활용하세요!”라니, 참으로 대범하고 뻔뻔하기 그지없다. 또한 키메라는 랜섬웨어와 ‘신상털기’ 공격을 겸한 첫 랜섬웨어이기도 했다. 돈을 내지 않을 경우 개인정보를 인터넷에 올릴 것이라고 협박을 했기 때문이다. 물론 키메라가 그런 기능을 가지고 있는지는 아직 확실히 밝혀지지 않았다.

4. 새로운 크립토월의 변형들
아마 가장 유명한 랜섬웨어 중 하나일 텐데, 크립토월도 올해에 다시 등장해 존재감을 과시했다. 이번에 등장한 크립토월에는 2.0이라는 숫자도 붙었다. 토르 네트워크에 C&C 서버를 마련해 트래픽을 관리하고 32비트 드로퍼로부터 64비트 코드를 실행할 수도 있었다.

거기에다가 크립토월 3.0까지도 등장했다. 익스플로잇 킷을 타고 이전 버전들보다 훨씬 빨리 퍼지기 시작한 이 멀웨어는 협박에 응한 사용자들로부터 10개월 동안 무려 3억 2천 5백만 달러라는 돈을 빼앗았다.

여기에서 멈출 리가 없었다. 가을에는 크립토월 4.0도 나왔다. 랜섬 메시지가 독특했다. ‘피해 보기 싫다면 돈을 내놔라’는 식의 메시지가 아니라 환영사와 협박문이 고루 섞였다. 암호를 푸는 데 필요한 700달러짜리 소프트웨어 패키지를 구입하고, 크립토월 커뮤니티에 참여하라는 메시지를 전면에 드러내긴 했지만 반쯤은 협박인 뉘앙스를 풍겼던 것.

“크립토월의 멤버가 되신 것을 환영합니다!”로 시작해 “이런 간단한 규칙을 잘 못 지키시는 분이라는 게 확인되면, 더 이상 저희도 도울 수 없게 됩니다. 그러니 한 번에 잘 적응하시기 바랍니다. 분명히 경고 드렸습니다.”

크립토월 4.0은 파일 내용뿐 아니라 파일 이름도 암호화시킴으로써 훨씬 더 복호화를 어렵게 만들었다.

2016년, 랜섬웨어는 또 어떻게 우리들을 공격해올 것인가? 그러나 올해를 거쳐 사용이 쉬워지고 사용방법도 광활해진 랜섬웨어가 최종사용자의 심적 부담을 덜어줄 리는 만무하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기