대대적인 고제우스 및 크립토락커 퇴치 작전 있었지만...

성인 사이트 접속 기록 증거를 조작해 사용자 협박

[보안뉴스 문가용] 2014년 6월 미국 사법부는 고제우스라는 악명 높은 봇넷과 그 페이로드인 크립토락커 멀웨어 퇴치 작전을 대대적으로 벌였다. 고제우스나 크립토락커 모두 확실히 자취를 감추는 듯 했다. 그러나 랜섬웨어 자체가 박멸된 것은 절대 아니었다. 아니, 오히려 랜섬웨어를 활용한 공격이 훨씬 대담해지고 있다. 이번에 등장한 새로운 강자의 이름은 코브터(Kovter)다.

랜섬웨어는 데이터나 중요 파일을 ‘납치’해서 그 몸값을 받아내는 방식의 범죄에 사용되는 멀웨어를 말한다. 역사상 처음 기록된 랜섬웨어는 1989년 AIDS 트로이목마 멀웨어로 제작자는 조셉 폽(Joseph Popp)으로 알려져 있다. 그리고 가장 최근의 것은 위에서 말한 고제우스 봇넷에서 파생된 크립토락커이다.

지난 18개월 간 랜섬웨어는 갖은 형태로 등장했다. 크립토월처럼 크립로락커의 아류 버전이 나오기도 하면 전혀 새로운 멀웨어가 나타나기도 한 것이다. 또한 아주 오래된 우라시(Urasy)나 레베톤(Reveton)과 같은 멀웨어도 슬금슬금 모습을 드러내기 시작했다.

그중에 특히 엄청난 성장세를 보이고 있는 것이 바로 코브터다. 코브터는 화면을 잠그거나 시스템을 잠그는 방식을 취하는 랜섬웨어로 크립토월처럼 파일을 암호화시키는 것과는 궤를 달리한다. 시스템 혹은 화면을 잠근 상태에서 경찰에서 발송한 것과 같은 메시지를 사용자에게 송출한다. 특히 성인용 웹 사이트에 접속한 이력이 있는 사용자들이 주요 타깃이다.

그렇다면 성인 웹 사이트에 접속한 기록을 가지고 있지 않은 경우는 안전할까? 그렇지 않다. 코브터는 가짜 증거를 만들어내기도 하기 때문이다. 아무 성인 사이트에 스스로 접속해 로그인한 후 그것을 바탕으로 가짜 증거를 생성해낸다. 그리고 그 가짜 증거물을 화면에 출력하고 협박 메시지도 함께 보낸다. 성인물 관련 법을 어겼으니 벌금을 내라는 내용이다. 하지만 벌금을 낸다고 해서 시스템이 복구가 되는 건 아니다. 담발라(Damballa)의 위협 조사 팀에 의하면 코브타 감염은 하루 동안 최고 43,713건을 기록하기도 했다.

코브터에 감염되었을 경우 뚜렷한 대처 방법은 아직 마련되지 않고 있다. 미국에서는 FBI까지도 이 멀웨어에 대한 수사를 진행하고 있긴 하지만 아직 뚜렷한 성과는 없는 것으로 알려져 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>