[보안뉴스 문가용] 랜섬웨어 산업으로 진출한 사람들에겐 올해가 커다란 수확의 해였다. 그만큼 보안 업계에겐 머리가 패일 정도로 골치 아픈 해였고 말이다. 랜섬웨어의 풍년 속에 어떤 놈들은 아무런 내용물 없이 그저 위협만 랜섬웨어 식으로 포장해서 수익을 거두기도 했고, 어떤 놈들은 실제 엄청나게 위험했다. 기관 및 기업들의 30%가 랜섬웨어의 위협에 실제로 돈을 낸 적이 있으며 여기에는 심지어 경찰조직들도 포함된다. 아무도 랜섬웨어를 해결해주지 못했기 때문이다.
더욱이 랜섬웨어 제작자들의 코딩 능력만 빛난 한 해가 아니었다. 이들은 랜섬웨어를 가지고 사업마저 능수능란하게 하기 시작했다. 그렇다면 그 무수히 많았던 랜섬웨어 중 특별히 파장이 컸던 것에는 무엇이 있었을까? 2015년을 흔들고 랜섬웨어의 전성기를 가져오는 데 한 몫 한 주요 랜섬웨어들을 모아보았다.
1. 팩맨(Pacman)
불특정 다수가 아니라 소수의 표적들만 집요하게 노린 랜섬웨어로, 특이하게도 덴마크의 척추지압사들이 많은 피해를 보았다. 동네에 새로 이사 왔는데 몸이 안 좋아 지압을 주기적으로 받아야 하는데, 오랫동안 거래할 만한 곳을 찾는다는 피싱 메시지에 자신의 의료정보이니 도움이 될 만한 사람을 찾는 데에 참고해달라고 첨부해 놓은 이미지 파일이 랜섬웨어였다.
팩맨 랜섬웨어는 지워내는 데에도 무척 까다로웠다. 지우려고 하는 순간 ‘킬 기능’이 활성화되어 태스크 매니저와 같은 윈도우의 각종 기능들이 강제로 셧다운 되었기 때문이다.
2. 톡스(Tox)
톡스는 처음으로 랜섬웨어의 또 다른 사업방향을 제시한 예다. 제작자들이 톡스를 구축하고 사용하게 해주는 툴킷을 무료로 배포해 아무나 랜섬웨어 공격을 사용할 수 있도록 하는 대신 호스팅 사이트에서 20%의 수수료를 받았기 때문이다. 고기는 무료지만 대신 자릿세를 받는 느낌이랄까.
톡스 랜섬웨어 자체는 그다지 대단하거나 기술력이 놀라운 수준은 아니었다. 다만 사용이 굉장히 쉬웠다는 것이 혁신적이었다. 톡스를 사용해보고 싶은 사람들은 토르 네트워크에서 익명으로 운영되는 톡스 웹 사이트에 등록한 후 피해자에게 요구하고 싶은 금액을 비트코인으로 입력하고 서버를 통해 랜섬 메시지(협박 메시지)를 비트코인을 받을 계좌번호와 함께 보내면 되었다.
3. 키메라(Chimera)
키메라가 처음 등장한 건 9월이다. 그리고 몇 달에 걸쳐 톡스처럼 서비스형 랜섬웨어 사업모델이 등장하고 50%라는 수수료를 받기 시작했다. 키메라가 독특했던 건 새로운 잠재 랜섬웨어 사업자이자 자신들에게 한 번 당해봤던 피해자들에게 ‘너도 랜섬웨어를 사용해서 돈을 벌어 봐’라는 메시지를 보내, 마치 피라미드 사업하듯이, 하위 사업자들을 모았다는 것이다.
그 메시지와 접근대상 자체가 ‘혁신’이다. “우리 프로그램을 누구보다 먼저 활용하세요!”라니, 참으로 대범하고 뻔뻔하기 그지없다. 또한 키메라는 랜섬웨어와 ‘신상털기’ 공격을 겸한 첫 랜섬웨어이기도 했다. 돈을 내지 않을 경우 개인정보를 인터넷에 올릴 것이라고 협박을 했기 때문이다. 물론 키메라가 그런 기능을 가지고 있는지는 아직 확실히 밝혀지지 않았다.
4. 새로운 크립토월의 변형들
아마 가장 유명한 랜섬웨어 중 하나일 텐데, 크립토월도 올해에 다시 등장해 존재감을 과시했다. 이번에 등장한 크립토월에는 2.0이라는 숫자도 붙었다. 토르 네트워크에 C&C 서버를 마련해 트래픽을 관리하고 32비트 드로퍼로부터 64비트 코드를 실행할 수도 있었다.
거기에다가 크립토월 3.0까지도 등장했다. 익스플로잇 킷을 타고 이전 버전들보다 훨씬 빨리 퍼지기 시작한 이 멀웨어는 협박에 응한 사용자들로부터 10개월 동안 무려 3억 2천 5백만 달러라는 돈을 빼앗았다.
여기에서 멈출 리가 없었다. 가을에는 크립토월 4.0도 나왔다. 랜섬 메시지가 독특했다. ‘피해 보기 싫다면 돈을 내놔라’는 식의 메시지가 아니라 환영사와 협박문이 고루 섞였다. 암호를 푸는 데 필요한 700달러짜리 소프트웨어 패키지를 구입하고, 크립토월 커뮤니티에 참여하라는 메시지를 전면에 드러내긴 했지만 반쯤은 협박인 뉘앙스를 풍겼던 것.
“크립토월의 멤버가 되신 것을 환영합니다!”로 시작해 “이런 간단한 규칙을 잘 못 지키시는 분이라는 게 확인되면, 더 이상 저희도 도울 수 없게 됩니다. 그러니 한 번에 잘 적응하시기 바랍니다. 분명히 경고 드렸습니다.”
크립토월 4.0은 파일 내용뿐 아니라 파일 이름도 암호화시킴으로써 훨씬 더 복호화를 어렵게 만들었다.
2016년, 랜섬웨어는 또 어떻게 우리들을 공격해올 것인가? 그러나 올해를 거쳐 사용이 쉬워지고 사용방법도 광활해진 랜섬웨어가 최종사용자의 심적 부담을 덜어줄 리는 만무하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>