러시아 지하조직 두목들 5개월간 추적 및 조사
랜섬웨어 범죄 가담의 진입장벽 매우 낮아... 마음만 먹으면 시작 가능

[보안뉴스 문가용] 웹 첩보 전문업체인 플래시포인트(Flashpoint)가 지난 5개월 동안 러시아의 랜섬웨어 생태계를 관찰, 조사한 결과를 발표했다. 그러면서 널리 알려진 바 랜섬웨어 공격자들이 높은 수익을 거두고 있다는 주장에 대한 반론이 제기됐다.


플래시포인트는 러시아에서 랜섬웨어 공격을 대행해주거나 랜섬웨어를 대여해주는 서비스를 운영하는 조직의 가장 최고의 위치에 있는 자가 사용하는 전략, 기술, 절차 등을 상세히 추적한 것으로 알려졌다. 이런 조사를 벌인 목적은 랜섬웨어를 활용한 범죄가 어떻게, 어떤 기술과 방식으로 진행되는지, 또 어떻게 랜섬웨어를 퍼트리는지 파악하기 위해서였다. 수익적인 측면에서의 조사활동을 할 의도가 처음부터 있던 건 아니었다.

러시아 랜섬웨어 조직의 두목들은 캠페인을 조직하고 운영하는 역할을 모두 하고 있으며, 멀웨어를 같이 퍼트릴 파트너도 직접 고용하는 경우가 많았다. 그리고 무엇보다 1년 평균 수익이 9만 달러 정도였다. 이는 약 한 달에 7500 달러로 환산이 가능하다. 물론 적은 금액은 아니지만 흔히들 알고 있는 수억 달러의 연봉과는 거리가 있다. 두목이 이 정도고, 그저 범죄에 참여한 나머지 범죄자들의 평균 수익은 한 달 600달러에 불과했다.

또한 러시아 조직들은 인간관계에 크게 의존하여 작업을 진행하는 것으로 밝혀졌다. 중앙화된 명령체계나 기반구조도 없었으며, 협력관계에 있는 파트너들도 독립적으로 움직였다. 두목은 랜섬웨어 샘플을 파트너들에게 주고, 파트너들은 알아서 랜섬웨어를 퍼트렸다. 파트너들이 랜섬웨어 확산에 사용하는 채널은 봇넷, 피싱, 악성 서버, 토렌트, 온라인 데이트 사이트, 파일 공유 웹사이트였다.

피해자 한 명이 내는 랜섬은 평균 300달러였고, 한 달에 이런 피해자는 약 서른 명 정도였다. 랜섬을 직접 받는 사람은 두목들이었다. 실제 챙기는 액수는 두목이 60%, 나머지 파트너들이 40%였다.

주목할 만한 건 랜섬웨어 조직의 두목이 “코딩을 할 줄 모르거나 랜섬웨어 범죄를 저질러본 적이 없는 무경험자”들을 주로 구했다는 것이다. 랜섬웨어 범죄에 가담하려는 잠재 범죄자들의 진입장벽이 무척 낮은 것을 시사한다. 실제 러시아에서는 돈을 벌고 싶은 마음만 있으면 누구나 랜섬웨어 관련 ‘사업’을 벌일 수 있는 것으로 보인다는 게 플래시포인트의 결론이었다.

또한, 랜섬웨어로 벌어들일 수 있는 수익은 공격 유형에 따라 크게 달라진다는 사실도 드러났다. 이번 연구에 참여한 플래시포인트의 안드레이 바리세비치(Andrei Barysevich)는 “표적형 공격이냐 아니냐에 따라 수익이 크게 달라진다”고 설명했다. “초보 공격자들은 보통 불특정다수에게 랜섬웨어를 뿌리는 방식을 택합니다. 하나쯤은 걸리겠지 하는 마음인 것이죠.” 하지만 이런 식의 공격 성공률은 5~10%에 그친다. 그중 돈을 내는 사람은 더 적다.

그에 반해 표적형 공격은 주로 개인이 아니라 조직 전체를 노리는 것이기 때문에 피해자에게 요구하는 금액부터 다르다. 개인이라고 할지라도 기업의 임원진이나 고위직에 있는 공무원이기 때문에 수익 기대치가 높다. “표적형 공격의 성공률은 매우 높은 편입니다. 이런 공격을 하는 범죄자들은 한 달에 1만 달러 이상 수익을 올리죠. 하지만 이들은 극소수입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)