가상의 인물과 이메일 계정 통해 접근 시도... 대부분 가격 인하 성공
예상 외의 친절한 반응... 지역 내 비트코인 거래소 위치까지 알려줘


▲ 여기까지 당하느라 수고하셨습니다.
[보안뉴스 문가용] 랜섬웨어에 당한 피해자들이 협박당한 금액을 그대로 내는 경우가 거의 없다는 연구 결과가 나왔다. 보안 전문업체인 에프시큐어(F-Secure)가 연구한 바에 의하면 랜섬웨어 공격에 당황하지 않고 협상을 시도할 경우 대부분 금액도 상당히 낮춰주며 지불에 필요한 기한도 충분히 늘려주는 것으로 나타났다.

에프시큐어는 최근 랜섬웨어 샘플에 대한 사용자들의 반응 및 경험에 관한 실험을 진행했다. 이 실험에 사용된 샘플들은 서버(Cerber), 직소(Jigsaw), 크립토믹스(Cryptomix), 셰이드(Shade), 토렌트락커(TorrentLocker)였다.

또한 랜섬웨어에 당한 가상의 피해자인 크리스틴 월터스(Christine Walters)라는 인물도 생성하고 가짜 핫메일(Hotmail) 계정도 부여했다. 월터스라는 가면을 쓰고 핫메일 계정을 통해 랜섬웨어 공격자들과 협상을 시도했는데, 의심을 안 받기 위해 랜섬웨어나 보안, 비트코인에 대해 전혀 모르는 것처럼 가장했다.

에프시큐어의 보안 고문인 션 설리반(Sean Sullivan)은 “피해자가 자기 입장을 조금만이라도 주장하고 나서면, 대부분의 범죄자들은 굽혀주었다”며 “금액의 일부라도 받고자 하는 의도가 강한 것으로 보였다”고 설명했다. “랜섬웨어에 당하면 일단 협상부터 하세요. 질문을 하고 대화를 시도하세요. 대부분은 ‘100달러를 다 잃느니 70달러라도 받자’며 생각보다 친절하게 응할 겁니다.”

이번 실험에서 위 다섯 개 샘플 중 세 개의 공격자들은 협상에 응했다. 평균 29%까지 가격을 낮춰준 것. 다섯 개 샘플 중 토렌트락커의 공격자는 아무런 반응도 하지 않았다. 서버의 공격자들은 단 칼에 거절 메시지를 보내왔다. 하지만 지불 시한을 늦춰주는 것에는 동의했다. 아무런 반응이 없던 토렌트락커를 제외하고는 모두 지불 마감 기한을 늦추는 것 자체에는 너그러운 편이었다.

크립토믹스의 경우 처음 요구한 금액은 2천 달러로 다섯 개 중 가장 높았다. 하지만 크리스틴을 통해 에프시큐어가 가격을 흥정하기 시작하자 이를 1천 달러로 낮췄다. 이틀 간 협상을 더 진행했고, 크립토믹스 측은 350달러를 추가로 빼주기로 했다(650달러). 협상을 더 시도했을 때, 650달러 이하로는 내려갈 수 없다는 입장을 내비쳤다. 셰이드 랜섬웨어도 비슷했다. 초기 400달러에서 280달러로 가격을 내려준 것이다.

고객 지원(?) 기능이 가장 잘 되어 있던 건 직소 랜섬웨어였다. 직소 랜섬웨어가 처음 요구한 금액은 150 달러였으며, 이는 다른 랜섬웨어 샘플에서 요구된 금액보다 현저히 낮은 가격이다. 게다가 가격 협상을 시도하니 이를 125달러로 낮췄다. 게다가 비트코인을 사용하는 법까지 자세하게 알려줬다. 심지어 지역 근처 비트코인 상점까지 찾아서 알려줬다.

“몇몇 경우는 너무 친절해서 실험을 진행하는 저희 쪽에서조차 혼란이 느껴질 정도였습니다. 공격자들의 이런 친절한 태도를 접하고 나니 왜 그렇게 사람들이 소셜 엔지니어링 공격에 당하는지도 어느 정도 이해가 가더군요.” 그밖에, 공격자들이 가장 선호하는 언어는 영어였다는 사실도 드러났다. “영어에 대한 지식이 없으면 아예 소통 자체가 불가능합니다.”

FBI는 올해 초 2005년부터 인터넷 범죄 신고 센터(IC3)를 통해 접수된 랜섬웨어 관련 사건 7700건을 분석해 보고서를 발표한 바 있다. 해당 보고서에 의하면 피해자들은 총 5천 7백만 달러를 랜섬웨어 공격자들에게 지불했다고 하며, 각 개인 및 기업에게 요구된 금액은 200달러에서 1만 달러였다고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>