※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1811호(2017. 8. 30. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

구글 랜섬웨어 몸값 경로 추적, 월 100만 달러를 번 것도 존재.pdf



ž 구글이 2016년부터 급증하고 있는 랜섬웨어의 몸값 지불 프로세스를 추적한 결과, 25백만 달러 이상이 실제 범죄자들에게 지불된 것으로 나타남


Ø 구글의 보안 연구원 3인은 세계 최대 보안 컨퍼런스인 블랙햇(Black Hat) 2017에서 이러한 조사 결과를 발표했는데, 발표에는 비트코인 조사 기관인 체이낼러시스(Chainalysis)와 캘리포니아 대학 샌디에이고, 뉴욕 대학 등이 함께 참여했음

us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf



Ø 구글의 조사 내용은 두 가지였는데, 우선 미끼 PC에 일부러 랜섬웨어를 감염시켜 랜섬웨어의 구조를 해독했으며, 동시에 몸값을 실제로 비트코인으로 지불하여 범인이 사용하는 비트코인 지갑을 색출한 다음 범인이 사용한 지갑의 거래 이력을 조사하였음


Ø 범인의 지갑 거래 내역을 통해 랜섬웨어로 벌어 들인 몸값 금액을 산출했는데, 비트코인 거래이력 추적은 체이낼러시스가 담당하였음



Ø 구글에 따르면 비트코인으로 몸값 지불을 요구하는 랜섬웨어는 2013년경부터 나타났으나 본격화 된 계기는 2016년에 등장한 랜섬웨어 락키(Locky)였다고 함


Ø 2013 3분기부터 2017 2분기까지 2,525만 달러가 넘는 몸값이 비트코인으로 지급되었으며 비트코인 거래소에서 환전되었음


<자료> Google

[그림 1] 분기별 랜섬웨어 몸값 지불 추이


Ø 랜섬웨어로 벌어들인 금액이 100만 달러가 넘는 밀리언 달러 플레이어들도 차례로 나타났는데, 받아 낸 몸값 총액을 보면 락키 780만 달러, 케르베르(Cerber) 690만 달러, 크립토락커(CryptoLocker) 200만 달러, 크립트XXX(CryptXXX) 190만 달러 순서임


Ø 한편 최근 전세계적으로 감염 우려를 낳으며 논란을 일으켰던 워너크라이(WannaCry)가 받아 낸 몸값은 의외로 10만 달러에 불과하였음


ž 한편 랜섬웨어를 유포한 범인들은 거의 대부분 러시아인이 운영하는 비트코인 거래소 BTC-e를 통해 환전하는 것으로 조사됨


Ø 랜섬웨어에 감염된 피해자가 몸값 지불에 사용할 비트코인을 구입한 비트코인 거래소로는 1위가 LocalBitcoins.com, 2Bithumb.com, 3Coinbase.com이었음


Ø 랜섬웨어 공격자는 지불 받은 비트코인을 BTC-e라는 거래소에서 환전하는 것으로 나타났는데, 이번 조사에서 추적할 수 있었던 몸값의 무려 95%가 러시아인이 운영하는 이 거래소에 예치되어 있었다고 함


Ø 구글이 이번 조사를 발표하기 하루 전날 BTC-e의 운영자인 러시아인 알렉산더 비닉이 그리스의 한 휴양지에서 미 FBI와 그리스 당국에 의해 체포되었는데, 뉴욕타임스에 따르면 비닉은 2014년 벌어진 마운트 곡스(Mt. Gox) 거래소의 비트코인 도난 사건에도 연루되어 있음


Ø 일부 보안 전문가들은 랜섬웨어 같은 아이디어는 과거에도 있었지만, 최근 들어 랜섬웨어가 만연하게 된 것은 비트코인이라는 익명성 높은 송금 수단이 등장했기 때문이라 지적하기도 함


Ø 그러나 이번 구글의 추적 조사에 의해 비트코인에 의한 몸값 지불을 추적 할 수 있다는 것이 알려졌고, 몸값의 환전이 이루어지던 거래소가 운영자의 체포로 조만간 폐쇄되면 익명성이 크게 약화될 것으로 보여, 최소한 당분간은 랜섬웨어의 기승이 덜할 것으로 예상됨


ž 구글은 이번 조사결과 발표와 더불어 3가지 종류의 랜섬웨어 락키, 케르베르, 스포라의 구조를 예로 들며 랜섬웨어의 기술 수준이 빠르게 향상되고 있음을 보여주었음


Ø 2016년에 등장한 락키는 랜섬웨어의 피해가 확대하는 계기가 된 동시에, 사상 처음으로 한달 동안 100만 달러 이상의 몸값을 받아 낸 것으로도 유명함


Ø 락키에 관해서 지적된 것은 이 랜섬웨어는 네커스(Necurs)라는 봇넷을 이용해 확산된다는 점인데, 봇넷은 멀웨어(악성 소프트웨어)에 감염된 다수의 컴퓨터로 구성된 네트워크인데 랜섬웨어를 확산시키는 전달 서버로 변할 수 있다는 것임


Ø 케르베르는 랜섬웨어 애즈 어 서비스(RaaS)의 대표격인데, RaaS는 말 그대로 랜섬웨어를 빌려 쓸 수 있게 해주는 서비스라는 뜻으로, 랜섬웨어와 함께 희생양을 노리는 피싱 메일을 전송하는 방법을 제공해 주는 것임


Ø 이러한 RaaS를 이용하여 기술을 잘 알지 못하는 범죄자라도 랜섬웨어를 악용 할 수 있게 됨에 따라 랜섬웨어의 피해가 더 커지고 있는 것인데, 케르베르는 감염 후 1 분 이내에 사용자의 데이터를 암호화 해 버리는 것이 특징임



Ø 스포라(Spora)는 랜섬웨어의 비즈니스를 더욱 진화시킨 것으로, 이 랜섬웨어에 감염된 피해자에 대해 비트코인을 이용한 지불 방법 등을 가르쳐 주는 온라인 채팅을 제공하는 등 매우 진화된 사용자 인터페이스(UI)를 갖추고 있음


Ø 구글이 공개한 스포라 피해자를 위한 UI에는 완전 복구는 79 달러, 파일 복구는 30 달러, 랜섬웨어 제거는 20 달러라는 메뉴 버튼과 비트코인을 사용한 결제 화면까지 제공되고 있음


<자료> Google

[그림 2] 랜섬웨어 스포라의 사용자 인터페이스


ž 구글 연구원들은 이처럼 랜섬웨어가 진화하고 있는 반면 많은 사용자들이 데이터를 외부 매체에 백업하지 않기 때문에 피해가 확대되고 있다며, 백업의 중요성을 강하게 호소


Ø 앞서 일부 전문가들의 지적처럼 비트코인의 등장이 랜섬웨어의 확산을 가져왔다는 분석은 일견 타당한 면이 있으나, 마치 비트코인 때문인 것으로 오해해선 안 된다는 견해도 있음


Ø 비트코인이 익명성 기반 결제 방식이기 때문에 해커들이 비트코인을 선호한다고 생각할 수 있지만, 사실 익명성만 놓고 본다면 추적 위험 없이 우편물로 보낼 수도 있고 전세계 어디서나 사용이 가능하며 재판매도 가능한 선불카드라는 보다 뛰어난 선택지가 있기 때문


Ø 또한 이번 구글의 추적에서 드러났듯 비트코인 거래는 비록 가명일지라도 블록체인에 그 흔적을 남기게 되므로, 해커가 환전을 할 때 부주의 하게 이름이나 IP 주소를 입력하게 된다면 자신의 정체가 드러날 수도 있고 이것이 빌미가 되어 체포될 가능성도 있는 수단임


Ø 해커들이 비트코인을 선호하는 실제 이유는 피해자가 언제 돈을 지불했는지 간단히 블록체인만 보아도 알 수 있고, 피해자마다 개별 계좌번호를 만들어 몸값을 지불한 피해자의 파일을 자동으로 암호 해제할 수 있는 편리함이 있기 때문


Ø 또한 범죄를 통해 불법적인 수익을 취하는 것이기 때문에 시스템이 제대로 작동하지 않을 경우 기술 지원이나 법적 지원을 받을 수 없는 치명적인 약점이 있기 때문에 사용 도구를 신중히 선택해야 하는데 그런 점에서 비트코인은 안정적인 시스템이기 때문임


Ø 결국 랜섬웨어 문제는 피해자들의 보안 의식이 부족해서 생기는 것이며, 민감한 정보에 접근하려는 해커들이 이용할 수 있는 사회공학적 기법과 피싱 메일에 대해 더 잘 이해하려는 노력이 부족한 데서 발생하는 것이라는 점을 명확히 인식할 필요가 있음


Ø 구글이 제시한 피해 방지 방법도 결국 데이터 백업을 하라는 매우 기본적인 것인데, 강력한 비밀번호를 사용하고 이를 노출하지 않으며, 그럴 듯한 이메일이라도 발신자가 수상하면 열어보지 않는 등의 기본적인 행위야말로 가장 강력한 보안 대책인 것임

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1797호(2017. 5. 24 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

비즈니스 이메일 사기(BEC) 새로운 기업 보안 위협으로 급부상.pdf



ž 매주 새로운 사이버 공격 유형이 등장하는 가운데, 비즈니스 이메일 사기(Business E-mail Compromise, BEC)가 새로운 사이버 공격 위협으로 주목받고 있음


Ø 비즈니스 이메일 사기(BEC, )는 거래처에 송금해야 하는 기업을 대상으로 하는 공격으로 합법적인 거래처로 가장한 이메일로 상대방을 속이고 위조한 청구서 등을 보내 송금을 유도하는 것인데, 새로운 유형이라고는 하지만 그 존재 자체는 전혀 새로운 것은 아님


Ø 공격 대상은 송금 업무를 담당하는 회계 부서 직원 등인데, 통상 업무 건당 거래 규모가 큰 대기업일 경우 만일 벡에 속게 된다면 거액의 돈을 송금하게 될 위험에 처하게 됨



<자료> FBI


[그림 1] CEO의 송금 지시를 가장한 비즈니스 이메일 사기


Ø 벡은 사기를 통해 부정한 방법으로 경제적 이익을 얻으려 한다는 점에서, 소셜 엔지니어링 기법을 통해 지인으로 가장하여 기업의 주요 정보를 빼내는 데 목적을 두는 표적 공격 이메일과는 성격을 달리함


Ø 미 연방수사국(FBI)에 따르면 벡은 2013 10월경부터 확인되기 시작했으며 그때부터 2016 6월까지 미국 인터넷 범죄 신고 센터에 신고된 벡의 사기 피해 건수는 전세계 79개국에서 22,143 건이며 피해액은 약 31억 달러에 달함


Ø 또한 지난 1 년 동안 가짜 송금 지시 메일이나 금전 사취를 목적으로 한 메일이 직원에 전달된 기업의 비율은 미국 75.2%, 싱가포르 65.6%이며, 그 중 실제로 금전적 피해를 입은 기업의 비율은 미국 60.6%, 싱가포르 37.5%에 달했다고 함


Ø 비즈니스 이메일 사기와 이메일 계정 사기(EAC)를 합한 피해금액은 2013년부터 2016년까지 전세계 131개 국에서 총 53억 달러에 달했으며, 특히 2016년은 2015년에 비해 피해금액이 23.7배가 증가해 올해 2017년은 더욱 기승을 부릴 것으로 예상됨


Ø 최근 일본에서는 약 28억 엔에 달하는 거액의 비자금을 돈세탁 목적으로 일본에 송금한 나이지리아인과 일본인 총 14명이 체포되는 사건이 발생했는데, 이 비자금은 벡 사기를 통해 부당하기 갈취한 돈이라고 함


ž 벡은 랜섬웨어와 달리 건당 피해금액이 크다는 점에서 기업에 주는 타격이 보다 직접적인데, 평균 피해금액은 10만 달러 이상이라고 함


Ø 최근 공격이 급증하고 있는 벡은 기업과 조직을 대상으로 한 금전의 부당한 취득이 목적이라는 점에서 랜섬웨어와 유사하나, 공격 방법의 차이가 있으며 건당 피해액 규모 측면에서는 비즈니스 이메일 사기가 보다 심각함


Ø 랜섬웨어는 기업의 PC를 감염시켜 저장되어 있는 파일을 암호화하여 사용할 수 없도록 한 다음, 암호를 풀고 싶으면 몸값을 지불하라는 바이러스인데, 피해자가 그 정도 금액이라면……’이라 생각할 정도의 몸값 수준을 설정하기 때문에 과도한 금액은 요구하지 않는 경우가 많음


Ø 반면 벡의 경우는, 특히 기업의 규모가 클수록 피해금액이 커지는데, FBI의 조사에서 총 피해금액을 피해건수로 나눠 보면 건당 피해금은 약 14만 달러가 됨


Ø 보안 솔루션 기업인 시큐어 테크놀로지의 조사에 따르면 벡으로 인한 사기 피해를 당한 기업 중 피해 금액이 10만 달러 이상인 기업의 비율이 47.8%로 거의 절반에 가까웠음


ž 비즈니스 이메일 사기가 무서운 점은 백신 소프트웨어로는 막을 수 없다는 것으로, 기업과 직원들이 스스로 벡의 가능성을 인지하고 조심해야 하는 수밖에 없음


Ø 벡은 메일로 속여 입금시킨다는 단순한 수법한 수법을 사용하기 때문에, 외견상 사이버 공격이라기 보다는 보이스 피싱에 가깝고 보아야 함



Ø 간단한 수법이라고 하지만 상대를 속이는 궁리는 매우 정교해서, 거래처로 가장하거나 자사의 경영자 또는 변호사로 행세하는 등 패턴이 다양하며, 상대방이 신뢰하도록 만들기 위해 실제 이메일 주소를 얻어 내거나 사전 정보 수집을 위해 소셜 엔지니어링을 구사하기도 함


Ø 이런 특성 때문에 그 대응 방법 마련이 매우 어렵게 되는데, 메일에 바이러스나 악성 코드가 숨겨진 파일이 첨부되어 있는 것도 아니기 때문에 방화벽이나 바이러스 백신 소프트웨어와 같은 기술적 대응 방식이 통하기 어려움


Ø 이는 보이스 피싱 전화가 오는 것 자체를 막기가 어려운 것과 같은 이치로, 송금 담당자 등 한사람 한사람이 이 메일이 혹시 가짜가 아닐까라고 의심해 송금 시 확인 절차를 강화하는 등의 매뉴얼 마련이 보다 효과적인 대응 수단임


Ø 그러나 보이스 피싱 사기 피해가 좀체 줄어들지 않고 상당히 신중하다고 평가 받는 사람이라도 종종 보이스 피싱에 속는 것은 다 그만한 이유가 있기 때문


Ø 공격이 급증하고 있는 랜섬웨어나 표적 공격에 대해서도 보안 및 IT 관련 지식이 많지 않은 직원들은 무관심한 경우가 많으며 피해를 당하고 나서야 위험을 실감하는 것이 보편적 현상임


Ø 그래도 우선은 비즈니스 이메일 사기의 존재를 널리 주지시키는 것이 중요하며, 기업은 지속적으로 보안 교육을 실시하고, 언론은 관심을 갖고 비중 있게 다루어 환기시키는 것이 평범하지만 효과적인 벡 대응 방안임