점점 전문화된 서비스형 랜섬웨어, 암시장 내 인기도 보여줘
분석되는 것 방지 위해 샌드박스 환경 탐지 시 디크립터 삭제

[보안뉴스 문가용 기자] 멀웨어 개발자들이 얼마나 친절하게 변하고 있는지, IT 기술이나 컴퓨터에 대해 거의 아무 것도 모르는 범죄자들도 고급 랜섬웨어 공격을 자유자재로 할 수 있게 되었다. 특히 러시아의 사이버 범죄자들 사이에서 이런 식의 멀웨어 서비스가 유행하고 있으며, 사용도 쉽고 가격도 낮은(17만 5,000원 정도) 랜섬웨어가 급격하게 퍼지고 있다고 한다.


위 사실은 보안 업체인 리코디드 퓨처(Recorded Future)가 조사한 바로, 주요 조사 대상이 된 멀웨어는 카르멘(Karmen)이라는 랜섬웨어다. 카르멘은 오픈소스인 히든 티어(Hidden Tear) 프로젝트로 만들어진 일종의 서비스형 랜섬웨어(RaaS)로, 일반 랜섬웨어와 마찬가지로 AES-256 암호화 알고리즘을 기반으로 하며, 비트코인으로 피해자들에게 데이터 값을 요구한다. 피해자들이 약속한 금액을 입금하면 자동으로 암호화가 풀린다.

그러나 카르멘은 피해자들에게 비교적 낮은 금액을 요구하고 있으며, 카르멘 서비스를 활용해 벌어들인 수익을 총합하는 기능까지 갖추고 있다. 이 때문에 비교적 투명하고 간편하게 수익 분배가 이뤄지고 있다는 것도 큰 장점으로 꼽힌다. 또한 업데이트도 잘 되는 것으로 알려져 있다.

서비스형 랜섬웨어가 유행하고 있다는 것 자체가 새로운 현상은 아니다. 이런 유형의 범죄 서비스는 작년에도 큰 화제가 된 바 있다. 카르멘이 기존의 서비스형 랜섬웨어와 다른 것은 매우 상품화가 잘 되어 있다는 것이다. 이는 암시장에서 랜섬웨어의 인기가 어느 정도나 되는지를 실감나게 해주는 대목이다.

또한 카르멘이 오픈소스를 기반으로 만들어졌다는 것도 의미심장하다. 오픈소스 코드가 빠르게 증가하고 있기 때문에, 멀웨어 제작 기술만 갖추고 있다면 제2, 제3의 카르멘이 얼마든지 등장할 수 있다는 뜻이기 때문이다. 예를 들면 오늘만 해도 보안 업체인 사일런스(Cylance)가 크립볼트(CrypVault)의 새로운 변종을 발견했다고 발표했는데, 이 변종은 오픈소스 암호화 툴인 GnuPG를 기반으로 제작되었다고 한다.

“보통의 랜섬웨어들과 달리 크립볼트는 간단한 DOS 명령, 자바스크립트, VB스크립트로 만들어졌습니다. 그렇기 때문에 높은 수준의 코딩 지식이 없더라도 변종을 만들기가 쉽습니다. 완전 초보가 변종을 제작할 수는 없겠지만 범죄자들 사이에서 평균치 코딩 능력만 가지고 있어도 자신만의 랜섬웨어로 돈을 벌 수 있게 되는 겁니다.” 사일런스의 로멜 라모스(Rommel Ramos)의 설명이다.

카르멘 제작자들이 활용한 오픈소스인 히든 티어는 원래 랜섬웨어에 대한 교육을 목적으로 만들어진 코드다. 랜섬웨어가 어떤 식으로 만들어져 있고, 어떤 식으로 공격하는지 시뮬레이션 해주는 것인데, 이를 공격자들이 역으로 이용하기 시작했다. 그렇지만 오픈소스가 누구에게나 열려있다 보니 어느 부분이 취약한지도 잘 알려져 있고, 랜섬웨어 전문가인 마이클 길레스피(Michael Gillespie)와 같은 경우, 벌써 트위터를 통해 카르멘 피해자들을 도와주고 있다.

그렇다고 카르멘이 금방 무력화되고 그 의미를 잃는 것은 아니다. 카르멘에는 샌드박스 우회 혹은 훼파 기능이 있는데, 리코디드 퓨처는 이 점을 굉장히 심각하게 바라보고 있다. “카르멘은 샌드박스 환경이 탐지되면 디크립터를 스스로 삭제합니다. 그래서 분석되더라도 복호화 방법이 공개되지 않도록 한 것이죠.” 리코디드 퓨처의 다이애나 그랜저(Diana Granger)의 설명이다.

이렇게 탐지 우회 뿐 아니라 분석 가능성도 고려해 둔 ‘회피 기능’은 최근 멀웨어들에서 자주 나타나는 특징이다. 지난 달 보안 업체인 트렌드 마이크로(Trend Micro)는 악명 높은 케르베르(Cerber) 랜섬웨어에서도 안티샌드박스 기능을 발견했다는 보고서를 발표하기도 했었다. 특히 머신 러닝과 관련된 보안 기술을 무력화시키려는 시도가 눈에 띄었다고 당시 트렌드 마이크로는 설명했었다.

보안 업체 트립와이어(Tripwire)의 보안 분석 엔지니어인 트래비스 스미스(Travis Smith)는 “고양이와 쥐 사이의 술래잡기 같은 형국”이라며 “방어자들이 기술력을 한 단계 높이니, 이번엔 공격자들이 한 발짝 더 멀어진 것”이라고 설명한다. “범죄자들은 항상 자신들의 전략을 바꿉니다. 그 변화에 따라 보안 업계의 기술이나 동향도 바뀌죠.”

하지만 정보보안과 직접적인 관련이 없는 일반 기업체들 사이에서는 아직 이런 ‘술래잡기’ 참여 의사가 발견되지 않고 있다. 시큐어웍스(SecureWorks)의 조사에 의하면 랜섬웨어가 심각한 위협이라는 것에 대해 일반 기업들의 76%가 인지하고 있으나, 대책을 마련하고 있는 곳은 56%였을 뿐이다. 시큐어웍스의 수석 보안 전문가인 케이스 자비스(Keith Jarvis)는 “백업과 엔드포인트 보안 프로토콜은 물론, 이메일 필터링 기술과 패치 관리도 다시 한 번 점검해야 한다”고 권고한다.

“랜섬웨어의 대부분은 이메일과 브라우저의 익스플로잇 킷을 통해 들어옵니다. 대부분 패치되지 않은 환경에서 랜섬웨어 공격이 발생하기도 하고요. 그러니 이메일과 브라우저를 튼튼하게 다져놓는 것이 우선 중 우선입니다. 그 다음은 MS 워드 문서의 매크로 기능 비활성화입니다. 이 역시 랜섬웨어의 빈번한 통로가 되어주곤 하죠. 이것만 해도 대부분 랜섬웨어는 막을 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>