보안 강화될수록 범죄 수법도 업그레이드

정보가 유괴되는 시대, PC뿐 아니라 모바일 기기에도 범람

[보안뉴스 문가용] 마이크로소프트가 코딩 작성에 보안 개념을 투입시킨 이후로 윈도우 소프트웨어의 취약점들이 슬슬 줄어들고 있는 추세다. 이제 해킹이 예전만큼 쉽지 않다. 그만큼 해커들도 창의력을 발휘하고 있다. 랜섬웨어만 보더라도 이들이 얼마나 ‘창의력’있는 집단인지 알 수 있다. 그저 시스템을 감염시키는 게 아니라 화면을 잠그고 데이터를 암호화해서 사용자가 전혀 접근하지 못하도록 ‘유괴’해 버리는 것이다.

이런 멀웨어 중 최근 가장 유명세를 떨치고 있는 건 단연 크립토락커(CryptoLocker)다. 강력한 암호화 알고리즘을 동원해 사용자의 로컬 및 네트워크로 공유된 파일을 잠가버린다. 이것 때문에 300달러 이상 지급하고 데이터를 돌려받은 예도 있다. 하지만 그 데이터를 돌려받는다고 해서 공격자들이 추후에 다시 공격하지 않을 거라는 보장도 없을뿐더러 민감한 정보가 있을 경우 그것이 재차 악용될 소지는 다분하다.

하지만 지난 6월 FBI, 국제 경찰 관계 기관, 보안 회사 등이 전부 힘을 합쳐 크립토락커의 머리를 베는 데 성공했다. 즉 가장 중요한 C&C 서버를 확보했다는 것이다. 현 시점에서도 크립토락커는 더 이상 작동하지 않는다. 하지만 멀웨어라는 건 대장 하나 잡았다고 모조리 소탕되는 게 아니다. 아직도 네트워크 어둠 저 속에 알 수 없는 것들이 득실거리고 있다. 그중 단연 눈에 띄는 건 크립토월(Cryptowall)이다.

“랜섬웨어는 이윤이 무척 높은 편에 속하고 중간 개입자가 적어서 조만간 큰 랜섬웨어의 바람이 불어닥칠 겁니다.” 밤베넥 컨설팅(Bambenek Consulting)의 수석 포렌식 담당관인 존 밤베넥(John Bambenek) 씨의 설명이다. “기존의 신용카드 사기와는 달리, 돈을 운반해야 하는 사람이나 그걸 세탁해줄 사람, 카드를 복사해줄 사람 등이 전혀 필요 없습니다. 툴과 비트코인에 대한 접근성만 확보하면 됩니다.”

그래서 보안뉴스에서는 굵직한 멀웨어 5개를 뽑아보았다.

1. 크립토락커(CryptoLocker)

9개월간 크립토락커는 4십만 명이 넘는 사람들의 정보를 ‘유괴’하고 4백만 달러가 넘는 돈을 갈취했다. 하지만 지금 당장은 침묵 속에 놓여 있다. 그런데 너무 조용하다는 느낌을 지울 수가 없다. 6월초 대대적인 공격을 받고 침몰한 게 벌써 1달 반이 넘었는데 아직까지 쥐죽은 듯한 느낌이 드는 것이 예사롭지 않다. 전문가들은 크립토락커가 활동 무대만 바뀌었을 뿐이라고 말한다.

2. 크립토월(Cryptowall)

크립토월은 크립토디펜스(Cryptodefense)라고도 불리며 최근 가장 핫한 신상 멀웨어로 그 이름을 드높이고 있다. 전문가들은 크립토락커와 크립토월 사이에 별다른 관계가 없을 것이라고 말한다. 하지만 파일을 암호화 한다거나 비트코인을 사용한다는 점에서 범죄 방식 자체는 비슷하다.

델 시큐어웍스(Dell SecureWorks)의 연구원들은 6월 10일부터 28일까지 크립토월의 도메인 중 하나를 싱크홀 처리 했는데 이미 1만명이 넘는 사람들이 당한 시점이었다. 크립토월에는 적어도 5개 이상의 도메인이 있는 것으로 알려져 있으며, 그것이 사실이라면 도메인 하나 잡아낸 것은 시작에 불과하다고 볼 수 있다. 크립토월의 배후 인물은 주당 15만 달러를 갈취한 것으로 예상된다. “크립토락커와 다른 점이 있다면, 크립토락커는 데이터를 지우겠다고 협박하지만 크립토월은 돈의 액수를 올린다는 겁니다.”

3. 레베톤(Reveton)

마이크로소프트의 보안 정보 보고서에 따르면 지난 해 하반기를 뜨겁게 달궜던, 가장 공격적인 램섬웨어 중 하나다. 작년 한 해 동안만 상반기에서 하반기까지 45%나 수가 늘었고 FBI나 다른 법 집행 기관에서 보낸 것으로 가장한 메시지를 보내 사람들을 속이는 수법을 쓴다. “크립토락커 이전 가장 ‘전형적인’ 모습을 보여줬던, 랜섬웨어의 교과서 같은 존재로 공격 수법이 여전히 유효하면서도 새로운 형태로도 발전 가능성이 있어 무서운 존재입니다.”라고 밤베넥 씨는 설명했다.

4. 우라우시(Urausy)

지난 해를 가장 뜨겁게 달구었던 멀웨어가 레베톤이라면 그 바로 다음 주자는 우라우시다. 레베톤처럼 국가 기관 같은 곳에서 보낸 메시지를 배포한다는 면에선 레베톤과 비슷하다. 다만 우라우시 멀웨어가 보내는 메시지의 주된 내용은 불법 성인 동영상을 본 것으로 파악되니 안내된 계좌로 벌금을 내라는 것이다. 다행이도 우라우시에 감염된 경우, 돈을 내지 않고도 시스템을 복원하는 게 가능하다. 또한 시스템으로부터 완전 삭제도 가능하다는 게 전문가들의 목소리다.

5. 심플락커(Simplocker)

누가 그러던가, PC 사용자만 공격 목표라고. 활성화된 스마트폰 문화에서는 스마트폰 사용자 전원이 공격 목표가 된다. 좋은 예가 안드로이드 환경에서 서식하고 있는 심플락커다. 대부분 러시아와 우크라이나 등지에서 발견되고 있는 것이 특징이며 안드로이드 앱인 것처럼 위장해 사용자가 설치하도록 한 후 사용자가 보관하고 있던 파일들을 암호화시킨다. 하지만 아직은 ‘프로토타입’ 단계만 발견됐을 뿐 정식 버전은 등장하지 않고 있다.

“크롭토 시리즈의 랜섬웨어와 비슷한 방식으로 doc나 jpg 등 대중들에게 인기가 많은 파일 확장자를 골라낸 후 암호화를 합니다. 개인 키가 멀웨어의 코드에만 저장되기 때문에 이론상 이런 파일들을 복구하는 게 가능하긴 합니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>