• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

음성 인식까지 되는 랜섬웨어, 록드로이드 나왔으나 2017.02.23

입금한 피해자, 복호화 키 입력할 때 낭독하도록 요구
다양한 공격 방법 실험 중 vs. 10대 청소년들의 장난

[보안뉴스 문가용 기자] 아마 말하는 랜섬웨어라고 해서 한 동안 업계를 떠들썩하게 했던 게 기억날 것이다. 협박 문구를 친절하게도(?) 피해자에게 읽어주는 랜섬웨어의 등장에 참 별게 다 나온다, 하는 생각들을 했었을 것이다. 그런데 그에 반대되는 랜섬웨어가 나왔다. 피해자보고 뭔가를 또박또박 낭독하라고 시키는 랜섬웨어다. 진짜, 참 별게 다 나온다.

▲ 뜻밖의 낭독잼


이 랜섬웨어를 발견한 건 시만텍(Symantec)의 연구원들이고, 랜섬웨어는 현재까지 Android.Lockdroid.E라고 알려져 있다. 읽을 땐 편하게 록드로이드(Lockdroid)라고 한다. 모바일 기기를 주로 겨냥하고 있는 것으로 밝혀졌다. 이 랜섬웨어의 특징은 음성 인식 기능 API가 탑재되어 있다는 것이다. 보통 랜섬웨어 범죄자들처럼 피해자들이 돈을 입금한 후 복호화 키를 제공받는 것까지는 같다. 하지만 이번 랜섬웨어는 복호화 키를 입력하는 방식이 다르다. 보통 랜섬웨어가 ‘타이핑’을 요구한다면, 이번 랜섬웨어는 낭독을 요구하는 것이다.

보안 전문가들이 의아스러워하는 건 ‘왜?’이다. 음성 인식 기술이 아직 완벽하지 않아 오류 발생률이 낮지만은 않은 상태이고, 굳이 음성 인식 기술을 도입해서 범죄자들이 얻어가는 이득이 하나도 없기 때문이다. 왜 랜섬웨어에 음성 인식 기술을 추가했을까? 왜 불필요하고 오류 발생률 있는 복호화 프로세스를 끼워 넣었을까?

현재까지 알려진 바 랜섬웨어 피해자들은 중국어를 구사하는 사람들이다. 협박 문구도 만다린어로 작성되어 있고, 공격자들과 피해자는 QQ 메신저로 이야기를 나누도록 되어 있다. QQ 메신저 역시 물음표를 자아내는 요소다. 피해자 입장에서는 기존 모바일 기기를 사용할 수 없기 때문에 QQ 메신저로 범인과 대화를 하려면 새로운 기기를 구해야 하는데, 새로운 기기를 구한 마당에 굳이 돈을 낼 이유가 없기 때문이다.

그래서 보안 전문가들은 새로운 느낌의 당혹스러움을 맛보고 있다. 그나마 가장 대세로 자리 잡은 결론은 1) 공격자들이 딱히 돈을 벌고자 하는 의도가 강한 것이 아니고 2) 음성 인식 기술 혹은 색다른 지불 방법들을 실험해보고 있다는 것이다. 시만텍의 사건 대응 책임자인 케빈 헤일리(Kevin Haley)의 설명이다.

하지만 헤일리는 “그렇다 해도 이번 실험은 실패”라고 딱 잘라 말한다. “추측이긴 합니다만, 공격자 입장에서 그리 큰 성공을 거두진 못할 겁니다. 일단 랜섬웨어 공격에서 가장 중요한 건 피해자가 돈을 내기 쉬워야 한다는 겁니다. 그게 뒷받침 되지 않는 이상 그 어떤 실험을 진행해도 의미가 없습니다. 록드로이드 개발비만 날린 게 되는 거죠.”

록드로이드 이전 버전은 피해자에게 바코드를 스캔하라고 요구했었다. 그것도 복호화를 위한 과정이 아니라 범인과 QQ 메신저로 대화하기 위한 것이었다. 피해자 입장에선 1) 원래 쓰던 기기를 못 쓰게 되었으니 2) 새로운 기기를 구한 후 3) 바코드를 스캔해 4) QQ 메신저 채팅방에 입장해야 겨우 대화가 시작되는 거였으니, 불편하기 짝이 없는 랜섬웨어였다.

록드로이드의 이전 버전이거나 변종은 아니지만 약간의 유사점을 가지고 있는 랜섬웨어가 또 있다. Android/LockScreen.Jisut으로 ESET이 발견했다. 록스크린이라고 읽는다. 시만텍은 “록스크린과 록드로이드 전부 QQ 메신저를 주요 대화 창구로 사용하고 있다”며 “둘 다 만다린어를 사용하는 사람들을 겨냥하고 있다”고 공통점을 설명한다. “그렇기에 두 랜섬웨어의 전략이나 코드가 조금 다르긴 해도 연관이 있거나 출신이 비슷한 단체들이 배후에 있는 것으로 의심됩니다.”

ESET은 “중국어를 구사하는 10대 청소년의 장난 섞인 소행이 아닐까” 의심하고 있다. 실제로 QQ 메신저를 통해 공격자들을 추적해본 결과 “17~22세의 중국 청소년이라고 밝힌 프로파일 정보가 나왔다.” 물론 프로파일의 진위여부는 아직 밝혀진 바가 없다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>