Search

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1811호(2017. 8. 30. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

구글 랜섬웨어 몸값 경로 추적, 월 100만 달러를 번 것도 존재.pdf



ž 구글이 2016년부터 급증하고 있는 랜섬웨어의 몸값 지불 프로세스를 추적한 결과, 25백만 달러 이상이 실제 범죄자들에게 지불된 것으로 나타남


Ø 구글의 보안 연구원 3인은 세계 최대 보안 컨퍼런스인 블랙햇(Black Hat) 2017에서 이러한 조사 결과를 발표했는데, 발표에는 비트코인 조사 기관인 체이낼러시스(Chainalysis)와 캘리포니아 대학 샌디에이고, 뉴욕 대학 등이 함께 참여했음

us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf



Ø 구글의 조사 내용은 두 가지였는데, 우선 미끼 PC에 일부러 랜섬웨어를 감염시켜 랜섬웨어의 구조를 해독했으며, 동시에 몸값을 실제로 비트코인으로 지불하여 범인이 사용하는 비트코인 지갑을 색출한 다음 범인이 사용한 지갑의 거래 이력을 조사하였음


Ø 범인의 지갑 거래 내역을 통해 랜섬웨어로 벌어 들인 몸값 금액을 산출했는데, 비트코인 거래이력 추적은 체이낼러시스가 담당하였음



Ø 구글에 따르면 비트코인으로 몸값 지불을 요구하는 랜섬웨어는 2013년경부터 나타났으나 본격화 된 계기는 2016년에 등장한 랜섬웨어 락키(Locky)였다고 함


Ø 2013 3분기부터 2017 2분기까지 2,525만 달러가 넘는 몸값이 비트코인으로 지급되었으며 비트코인 거래소에서 환전되었음


<자료> Google

[그림 1] 분기별 랜섬웨어 몸값 지불 추이


Ø 랜섬웨어로 벌어들인 금액이 100만 달러가 넘는 밀리언 달러 플레이어들도 차례로 나타났는데, 받아 낸 몸값 총액을 보면 락키 780만 달러, 케르베르(Cerber) 690만 달러, 크립토락커(CryptoLocker) 200만 달러, 크립트XXX(CryptXXX) 190만 달러 순서임


Ø 한편 최근 전세계적으로 감염 우려를 낳으며 논란을 일으켰던 워너크라이(WannaCry)가 받아 낸 몸값은 의외로 10만 달러에 불과하였음


ž 한편 랜섬웨어를 유포한 범인들은 거의 대부분 러시아인이 운영하는 비트코인 거래소 BTC-e를 통해 환전하는 것으로 조사됨


Ø 랜섬웨어에 감염된 피해자가 몸값 지불에 사용할 비트코인을 구입한 비트코인 거래소로는 1위가 LocalBitcoins.com, 2Bithumb.com, 3Coinbase.com이었음


Ø 랜섬웨어 공격자는 지불 받은 비트코인을 BTC-e라는 거래소에서 환전하는 것으로 나타났는데, 이번 조사에서 추적할 수 있었던 몸값의 무려 95%가 러시아인이 운영하는 이 거래소에 예치되어 있었다고 함


Ø 구글이 이번 조사를 발표하기 하루 전날 BTC-e의 운영자인 러시아인 알렉산더 비닉이 그리스의 한 휴양지에서 미 FBI와 그리스 당국에 의해 체포되었는데, 뉴욕타임스에 따르면 비닉은 2014년 벌어진 마운트 곡스(Mt. Gox) 거래소의 비트코인 도난 사건에도 연루되어 있음


Ø 일부 보안 전문가들은 랜섬웨어 같은 아이디어는 과거에도 있었지만, 최근 들어 랜섬웨어가 만연하게 된 것은 비트코인이라는 익명성 높은 송금 수단이 등장했기 때문이라 지적하기도 함


Ø 그러나 이번 구글의 추적 조사에 의해 비트코인에 의한 몸값 지불을 추적 할 수 있다는 것이 알려졌고, 몸값의 환전이 이루어지던 거래소가 운영자의 체포로 조만간 폐쇄되면 익명성이 크게 약화될 것으로 보여, 최소한 당분간은 랜섬웨어의 기승이 덜할 것으로 예상됨


ž 구글은 이번 조사결과 발표와 더불어 3가지 종류의 랜섬웨어 락키, 케르베르, 스포라의 구조를 예로 들며 랜섬웨어의 기술 수준이 빠르게 향상되고 있음을 보여주었음


Ø 2016년에 등장한 락키는 랜섬웨어의 피해가 확대하는 계기가 된 동시에, 사상 처음으로 한달 동안 100만 달러 이상의 몸값을 받아 낸 것으로도 유명함


Ø 락키에 관해서 지적된 것은 이 랜섬웨어는 네커스(Necurs)라는 봇넷을 이용해 확산된다는 점인데, 봇넷은 멀웨어(악성 소프트웨어)에 감염된 다수의 컴퓨터로 구성된 네트워크인데 랜섬웨어를 확산시키는 전달 서버로 변할 수 있다는 것임


Ø 케르베르는 랜섬웨어 애즈 어 서비스(RaaS)의 대표격인데, RaaS는 말 그대로 랜섬웨어를 빌려 쓸 수 있게 해주는 서비스라는 뜻으로, 랜섬웨어와 함께 희생양을 노리는 피싱 메일을 전송하는 방법을 제공해 주는 것임


Ø 이러한 RaaS를 이용하여 기술을 잘 알지 못하는 범죄자라도 랜섬웨어를 악용 할 수 있게 됨에 따라 랜섬웨어의 피해가 더 커지고 있는 것인데, 케르베르는 감염 후 1 분 이내에 사용자의 데이터를 암호화 해 버리는 것이 특징임



Ø 스포라(Spora)는 랜섬웨어의 비즈니스를 더욱 진화시킨 것으로, 이 랜섬웨어에 감염된 피해자에 대해 비트코인을 이용한 지불 방법 등을 가르쳐 주는 온라인 채팅을 제공하는 등 매우 진화된 사용자 인터페이스(UI)를 갖추고 있음


Ø 구글이 공개한 스포라 피해자를 위한 UI에는 완전 복구는 79 달러, 파일 복구는 30 달러, 랜섬웨어 제거는 20 달러라는 메뉴 버튼과 비트코인을 사용한 결제 화면까지 제공되고 있음


<자료> Google

[그림 2] 랜섬웨어 스포라의 사용자 인터페이스


ž 구글 연구원들은 이처럼 랜섬웨어가 진화하고 있는 반면 많은 사용자들이 데이터를 외부 매체에 백업하지 않기 때문에 피해가 확대되고 있다며, 백업의 중요성을 강하게 호소


Ø 앞서 일부 전문가들의 지적처럼 비트코인의 등장이 랜섬웨어의 확산을 가져왔다는 분석은 일견 타당한 면이 있으나, 마치 비트코인 때문인 것으로 오해해선 안 된다는 견해도 있음


Ø 비트코인이 익명성 기반 결제 방식이기 때문에 해커들이 비트코인을 선호한다고 생각할 수 있지만, 사실 익명성만 놓고 본다면 추적 위험 없이 우편물로 보낼 수도 있고 전세계 어디서나 사용이 가능하며 재판매도 가능한 선불카드라는 보다 뛰어난 선택지가 있기 때문


Ø 또한 이번 구글의 추적에서 드러났듯 비트코인 거래는 비록 가명일지라도 블록체인에 그 흔적을 남기게 되므로, 해커가 환전을 할 때 부주의 하게 이름이나 IP 주소를 입력하게 된다면 자신의 정체가 드러날 수도 있고 이것이 빌미가 되어 체포될 가능성도 있는 수단임


Ø 해커들이 비트코인을 선호하는 실제 이유는 피해자가 언제 돈을 지불했는지 간단히 블록체인만 보아도 알 수 있고, 피해자마다 개별 계좌번호를 만들어 몸값을 지불한 피해자의 파일을 자동으로 암호 해제할 수 있는 편리함이 있기 때문


Ø 또한 범죄를 통해 불법적인 수익을 취하는 것이기 때문에 시스템이 제대로 작동하지 않을 경우 기술 지원이나 법적 지원을 받을 수 없는 치명적인 약점이 있기 때문에 사용 도구를 신중히 선택해야 하는데 그런 점에서 비트코인은 안정적인 시스템이기 때문임


Ø 결국 랜섬웨어 문제는 피해자들의 보안 의식이 부족해서 생기는 것이며, 민감한 정보에 접근하려는 해커들이 이용할 수 있는 사회공학적 기법과 피싱 메일에 대해 더 잘 이해하려는 노력이 부족한 데서 발생하는 것이라는 점을 명확히 인식할 필요가 있음


Ø 구글이 제시한 피해 방지 방법도 결국 데이터 백업을 하라는 매우 기본적인 것인데, 강력한 비밀번호를 사용하고 이를 노출하지 않으며, 그럴 듯한 이메일이라도 발신자가 수상하면 열어보지 않는 등의 기본적인 행위야말로 가장 강력한 보안 대책인 것임