유연한 협상과 복호화에 대한 확신 심어주는 범죄 콜센터
범죄자들의 기발한 전문성 돋보여...암시장 내 경쟁 역시 치열한 듯
▲ 우헤헤헤! 얼마든지 친절해주마!
[보안뉴스 문가용] 랜섬웨어의 공격에 당하는 건 때와 장소를 가리지 않고 난감하다. 그럼에도 최근 등장한 직소(Jigsaw) 랜섬웨어의 변종에 당한 피해자라면 아주 약간 운이 따랐다고 봐도 될 듯 하다. 그 이유는 다음과 같다.
이번에 등장한 직소의 변종에는 대담한 기능이 추가되었다. 피해자가 공격자와 직접 소통을 할 수 있도록 라이브 채팅 기능을 넣은 것이다. 기존의 랜섬웨어가 요구 금액을 일방적으로 통보했다면 이번 직소는 협상을 보다 원활히 하기 위한 것이라고 볼 수 있다. 피해자로서는 다크웹에 들어갈 일이 없어졌다는 좋은 점도 있긴 하다.
오리지널 직소 랜섬웨어는 올해 초 등장한 것으로 주요 파일들을 점진적으로 잠그거나 삭제하는 것으로 보안업계의 이목을 끌었다. “피해자에게 심리적 압박감을 증가시키는 전략의 일환이라고 보입니다. 공포감을 계속 증가시켜 피해자가 돈을 입금하도록 옥죄는 것이죠. 게다가 공포영화에 나오는 인형 이미지를 같이 화면에 출력해요. 사용자의 공포감을 극대화시키는 놈입니다.” 당시 트렌드 마이크로(Trend Micro)가 해당 랜섬웨어에 대해 평한 내용이다.
이런 점에 있어서는 이번에 새로 나온 직소 변종도 별반 다를 바가 없다. 일정 시간까지 일정 금액을 입금하라는 협박, 뭔가 복호화하려는 시도를 할 때마다 요구 금액이 늘어난다는 협박, 공포영화에 나올 법한 이미지. 여기에 라이브 채팅 세션이 추가된 것뿐이다.
트렌드 마이크로의 연구원들은 뉴욕에 거주하는 일반 사무원임을 가장하여 피해자인척 해 이번에 새롭게 추가된 라이브 채팅 세션을 시험했다. 채팅 내용은 현재 트렌드 마이크로의 블로그에 올라와 있으며, 공격자들은 ‘금액을 낮춰줄 의도가 있음’을 여과 없이 드러낸다. 또한 반드시 데이터를 되찾을 수 있다고 안심시키기도 한다. “물론 직소의 라이브 채팅 프로그램을 공격자들이 스스로 만든 건 아닙니다. 이미 대중에게 공개된 채팅 플랫폼인 온웹챗(onWebChat)을 사용하고 있더군요.”
지불을 위해 피해자에게 안내하는 웹 사이트와 온웹챗의 서버 사이의 통신은 암호화되어 처리된다. 그러므로 중간에 통신을 가로채기 하거나 패킷을 캡쳐하는 건 불가능하다.
재미있는 건 피해자와 채팅을 하는 담당자는 해당 피해자가 요구받은 금액이 얼마인지 잘 모르고 있는 듯 보인다는 점이다. 즉 피해자가 금액에 대한 정보를 정직하게 이실직고 할 것을 전제하고 있는 시스템인 것이다. “결국 피해자의 통신 정보가 콜센터로 업로드되지 않고 있다는 뜻입니다. 중요한 단서죠.” 트렌드 마이크로의 글로벌 위협 담당인 크리스토퍼 버드(Christopher Budd)의 설명이다.
이 점에 착안하여 ‘점진적으로 요구액을 늘리는’ 카운트다운 시스템을 분석했더니, ‘피해자 기기의 쿠키’ 정보에 크게 의존하는 것을 발견할 수 있었다. 즉 피해자가 쿠키를 지우면 카운트다운이 다시 24시로 늘어나는 것. 피해자 입장에서는 쉽게 시간을 벌 수 있는 것이다. “결국 인간 대 인간의 대화로 피해자들을 설득하는 편이 수익률 측면에서 더 나을 것이라는 판단을 한 것 같습니다.”
크리스토퍼 버드는 “이렇게 대담하게 피해자와 연락을 주고받을 장치를 탑재한 랜섬웨어는 처음입니다만 피해자를 협박하고 구슬리기 위한 다양한 방법을 범죄자들이 시도해보는 것 자체는 흔히 있는 일”이라고 말한다. 주목해야 할 건 피해자들에게 접근하는 시도가 좀 더 다양해지고 좀 더 전문화된다는 것이다. “이는 암시장에서의 경쟁 역시 매우 치열하다는 걸 반증해주는 것이라고 봅니다.”
현재 또 눈에 띄는 사이버 범죄자들의 변화로 “토르 사용법을 더 쉽게 안내해주는 방식”이라고 버드는 꼽는다. “돈을 내기 더 쉽게 만들어주는 방법으로, 기술적인 뒷받침도 되어야 하지만 사용자(피해자)들의 심리상태에 대한 마케팅 전문지식도 필요로 하는 방법”이라는 버드는 “역시나 범죄자들의 전문성이 눈에 띄는 부분”이라고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
범죄자들의 기발한 전문성 돋보여...암시장 내 경쟁 역시 치열한 듯
▲ 우헤헤헤! 얼마든지 친절해주마!
[보안뉴스 문가용] 랜섬웨어의 공격에 당하는 건 때와 장소를 가리지 않고 난감하다. 그럼에도 최근 등장한 직소(Jigsaw) 랜섬웨어의 변종에 당한 피해자라면 아주 약간 운이 따랐다고 봐도 될 듯 하다. 그 이유는 다음과 같다.
이번에 등장한 직소의 변종에는 대담한 기능이 추가되었다. 피해자가 공격자와 직접 소통을 할 수 있도록 라이브 채팅 기능을 넣은 것이다. 기존의 랜섬웨어가 요구 금액을 일방적으로 통보했다면 이번 직소는 협상을 보다 원활히 하기 위한 것이라고 볼 수 있다. 피해자로서는 다크웹에 들어갈 일이 없어졌다는 좋은 점도 있긴 하다.
오리지널 직소 랜섬웨어는 올해 초 등장한 것으로 주요 파일들을 점진적으로 잠그거나 삭제하는 것으로 보안업계의 이목을 끌었다. “피해자에게 심리적 압박감을 증가시키는 전략의 일환이라고 보입니다. 공포감을 계속 증가시켜 피해자가 돈을 입금하도록 옥죄는 것이죠. 게다가 공포영화에 나오는 인형 이미지를 같이 화면에 출력해요. 사용자의 공포감을 극대화시키는 놈입니다.” 당시 트렌드 마이크로(Trend Micro)가 해당 랜섬웨어에 대해 평한 내용이다.
이런 점에 있어서는 이번에 새로 나온 직소 변종도 별반 다를 바가 없다. 일정 시간까지 일정 금액을 입금하라는 협박, 뭔가 복호화하려는 시도를 할 때마다 요구 금액이 늘어난다는 협박, 공포영화에 나올 법한 이미지. 여기에 라이브 채팅 세션이 추가된 것뿐이다.
트렌드 마이크로의 연구원들은 뉴욕에 거주하는 일반 사무원임을 가장하여 피해자인척 해 이번에 새롭게 추가된 라이브 채팅 세션을 시험했다. 채팅 내용은 현재 트렌드 마이크로의 블로그에 올라와 있으며, 공격자들은 ‘금액을 낮춰줄 의도가 있음’을 여과 없이 드러낸다. 또한 반드시 데이터를 되찾을 수 있다고 안심시키기도 한다. “물론 직소의 라이브 채팅 프로그램을 공격자들이 스스로 만든 건 아닙니다. 이미 대중에게 공개된 채팅 플랫폼인 온웹챗(onWebChat)을 사용하고 있더군요.”
지불을 위해 피해자에게 안내하는 웹 사이트와 온웹챗의 서버 사이의 통신은 암호화되어 처리된다. 그러므로 중간에 통신을 가로채기 하거나 패킷을 캡쳐하는 건 불가능하다.
재미있는 건 피해자와 채팅을 하는 담당자는 해당 피해자가 요구받은 금액이 얼마인지 잘 모르고 있는 듯 보인다는 점이다. 즉 피해자가 금액에 대한 정보를 정직하게 이실직고 할 것을 전제하고 있는 시스템인 것이다. “결국 피해자의 통신 정보가 콜센터로 업로드되지 않고 있다는 뜻입니다. 중요한 단서죠.” 트렌드 마이크로의 글로벌 위협 담당인 크리스토퍼 버드(Christopher Budd)의 설명이다.
이 점에 착안하여 ‘점진적으로 요구액을 늘리는’ 카운트다운 시스템을 분석했더니, ‘피해자 기기의 쿠키’ 정보에 크게 의존하는 것을 발견할 수 있었다. 즉 피해자가 쿠키를 지우면 카운트다운이 다시 24시로 늘어나는 것. 피해자 입장에서는 쉽게 시간을 벌 수 있는 것이다. “결국 인간 대 인간의 대화로 피해자들을 설득하는 편이 수익률 측면에서 더 나을 것이라는 판단을 한 것 같습니다.”
크리스토퍼 버드는 “이렇게 대담하게 피해자와 연락을 주고받을 장치를 탑재한 랜섬웨어는 처음입니다만 피해자를 협박하고 구슬리기 위한 다양한 방법을 범죄자들이 시도해보는 것 자체는 흔히 있는 일”이라고 말한다. 주목해야 할 건 피해자들에게 접근하는 시도가 좀 더 다양해지고 좀 더 전문화된다는 것이다. “이는 암시장에서의 경쟁 역시 매우 치열하다는 걸 반증해주는 것이라고 봅니다.”
현재 또 눈에 띄는 사이버 범죄자들의 변화로 “토르 사용법을 더 쉽게 안내해주는 방식”이라고 버드는 꼽는다. “돈을 내기 더 쉽게 만들어주는 방법으로, 기술적인 뒷받침도 되어야 하지만 사용자(피해자)들의 심리상태에 대한 마케팅 전문지식도 필요로 하는 방법”이라는 버드는 “역시나 범죄자들의 전문성이 눈에 띄는 부분”이라고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
