기술력이나 수익성은 낮아도 확산성은 훨씬 강력

최근 비슷한 랜섬웨어 또 발견, 앞으로도 계속해서 그럴 듯

1~2개월 전, 크립토락커의 세력이 약화된 후 크립토월이 잠깐 떠올랐었다. 게임오버 제우스가 6월에 소탕된 후의 일이었다. 랜섬웨어 대부분이 그렇듯 크립토월 역시 엔드포인트를 오염시켜 사용자의 파일을 암호화한 후 ‘유괴’하여 사용자에게 돈을 요구하는 수법으로 사용되었다. 크립토월은 하드디스크, 이동식 디스크뿐 아니라 네트워크와 클라우드에까지 손을 뻗쳤다.

하지만 결국 구관이 명관이라는 듯 후발주자인 크립토월은 기술적인 면에서나 수익적인 면에서 크립토락커만 못한 것으로 드러났다. 크립토월보다 훨씬 많은 시스템을 감염시켰으면서도 공격자는 백만 달러 정도만을 겨우 벌어들였기 때문이다. 델 시큐어웍스의 조사에 따르면 크립토월에 공격을 받은 시스템은 625,000개로 밝혀져 크립토락커보다 80,000개나 더 많다. 모든 나라에 적어도 한 명의 희생자가 있지만 미국에는 희생자가 250,000명을 넘는다.

크립토월은 총 5,250,000,000개의 파일을 암호화시켰다. 이 수법에 당한 사용자들은 적게는 200달러에서 많게는 파일 당 2000달러를 지급했다. 딱 한 명, 10000달러를 지급한 사람이 예외적으로 존재했다. 6개월 동안 크립토월의 운영자는 1683명으로부터 돈을 탈취해 약 백만(1,101,990)달러를 벌어들였다.

이는 크립토락커에 비해 상당히 낮은 액수다. 카립토락커는 2개월만에 2천 7백만 달러를 벌어들였던 것이다. 연구원들은 크립토월이 희생자에게 제공하는 지불 방법이 다양하지 못한 걸 하나의 이유로 들었다. 크립토락커는 비트코인과 머니팩을 통해 몸값을 받았지만 크립토월은 비트코인만 사용이 가능했다. 모르긴 해도 이 때문에 돈을 내고 싶어도 못 낸 사용자가 꽤 있었을 것이다.

어쩌면 건당 너무 높은 금액을 요구해서 그런 것일 수도 있다는 분석 결과도 있다. 각 파일 당 요구한 금액이 크립토락커의 그것보다 높았던 것이다. 또한 크립토월은 크립토락커에 비해 범죄 조직과의 커넥션도 적어 돈을 세탁할 방법이 상당히 적거나 없었을 것으로 예상된다. 크립토락커의 경우 게임오버 제우스와 밀접한 관계에 있었다.

기술적인 부족함도 눈에 띄었다. 크립토월은 파일을 암호화하기 전에 C&C 서버를 호출해 RSA 공공키를 받았다. 즉 크립토월에서 C&C 서버로 가는 신호만 막으면 무용지물이 된 것이다. “다른 멀웨어들과 달리 크립토월은 도메인 생성 알고리즘이나 패스트플럭스 DNS와 같은 고급 기술을 사용하지 않았습니다. 다만 크립토락커에 비해 나았던 점은 확산성과 질긴 생명력이었습니다.”

크립토월은 컷웨일(Cutwail) 봇넷을 사용해 악성 이메일과 악성 첨부파일, 악성 링크를 퍼트렸다. 이때 유명 클라우드에도 침입해 이런 악성 요소들을 업로드 시키는 기능도 수행했다. 그래서 크립토락커보다 더 많은 시스템에 잠입하는 게 가능했던 것이다.

연구원들은 이에 더 나아가 크립토월과 톱피(Tobfy) 랜섬웨어 사이에 유사점을 다량 발견했다. 공격자가 같은 인물 혹은 단체이거나 최소 밀접한 관계에 있는 자로 추정된다. “이 해커나 단체가 누군지 몰라도 다년간의 경험이 풍부하게 쌓였을 것입니다. 여태까지 행해온 공격만 봐도 지식과 기술이 엄청나다는 걸 알 수 있고요. 톱피 랜섬웨어가 한동안 우릴 괴롭히다 사라져도 또 다시 더 업그레이드 된 뭔가가 등장할 것입니다. 그게 더 큰 문제입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>