다크웹에서 판매되고 있는 멀웨어 서비스, 톡스(Tox)

사용은 간단하지만 방어는 어려워 효과와 인기 모두 높아

[보안뉴스 문가용] 바야흐로 누구나 사이버 범죄를 할 수 있는 시대가 되었다. 해커로 가는 장벽이 무척이나 낮아진 것이다. 이게 다 암시장에서 구매할 수 있는 멀웨어 킷 때문이다. 말 그대로 각종 멀웨어가 선물세트처럼 팔리고 있는 것. 게다가 사용방법도 무척이나 간단하다 하는데 마침 요즘 해커의 수입이 좋다는 통계자료도 등장하고 ‘주경야해킹’이라는 새로운 트렌드까지 만들어낸 투잡족들도 생기고 있으니 이 킷의 판매자로서는 굉장한 호기를 만난 것이다.

이 킷을 발견한 건 맥아피의 연구원인 짐 월터(Jim Walter)로 누구나 이 킷을 사용해 랜섬웨어를 퍼트릴 수 있는 이 악하도록 편리한 세트의 이름을 ‘톡스(Tox)’라고 붙였다. “기술적인 배경지식이 거의 없다고 해도 사용이 가능합니다. 간단한 3단계만 거치면 누구라도 랜섬웨어 공격을 할 수 있도록 디자인되어 있더라고요.”

짐 월터는 여느 때처럼 다크웹을 돌아다니며 트렌드를 조사하다가 우연히 톡스를 발견했다. 처음에는 그냥 단순한 킷 판매 페이지였는데 시간이 갈수록 새로운 FAQ 및 사용자 게시판이 생기고 활성화됐다. 사용자가 급격히 늘어났다는 것이다. “톡스는 공짜이고 사용이 쉽다는 게 핵심입니다. 다만 이 킷을 제공하는 측에서는 20%의 수수료를 떼어가더군요.”

사용하기가 얼마나 쉽냐면, 톡스를 사용하려면 서비스 사이트에 등록하고 랜섬 금액과 공격을 하려는 이유를 적고 캡차만 잘 옮겨 적으면 된다. 이 세 단계만 거치면 2MB짜리 악성 실행파일이 생성된다. 얼른 보기엔 화면보호기 파일의 일종이고, 그래서 누구라도 별 생각 없이 클릭해볼 수 있는 상태다.

“그리고 이 멀웨어를 실행하면 CURL이라는 커맨드 툴과 토르 클라이언트를 감염된 시스템으로 다운로드 합니다. 그러고나서 그 컴퓨터에 있는 파일들을 전부 암호화하고 렌섬웨어에 감염되었으니 어디어디로 돈을 내라는 협박 메시지를 송출합니다. 물론 이때 지불방식 역시 비트코인이고요.”

톡스 서비스는 현재 익명성을 보장해주는 토르 네트워크에서 제공되고 있다. 위에서 말한 수수료는 비트코인으로 지급되며 이 서비스를 구매한 사용자들의 익명성도 보장되는 환경이었다고 월터는 말했다. 톡스의 또 다른 장점은 사용하기는 쉬운데 막기는 어렵다는 데 있다. “톡스를 막으려면 호스트 침입 방지 솔루션, 화이트리스팅, 샌드박싱이 총 동원되어야 합니다. 즉 일반 사용자가 유지하는 환경에서는 방어가 제대로 되지 않을 확률이 높은 것이죠.”

톡스를 제공하는 사이트에서는 모든 사용 상황을 모니터링하는 것으로 알려졌다. 수수료를 꼼꼼히 받아내기 위함인 것으로 보인다. “순수 코딩 기술로만 봤을 때 톡스는 그리 대단한 건 아닙니다. 그러나 누구나 사용하기 쉽게 만들어졌다는 것, 그럼에도 랜섬웨어가 가지고 있는 기능은 다 발휘한다는 것은 멀웨어 시장에서 꽤나 혁신적입니다. 앞으로 이런 류들의 서비스가 더 등장할 것으로 보입니다. 그러면 본격적인 재앙이 시작되겠죠.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>