서비스형 디도스는 초보자들이 사용하기 쉽게 만들어져 있고
서비스형 랜섬웨어는 하루에 10대 이상 감염시킬 수 있는 해커들만

[보안뉴스 문가용 기자] 새로운 ‘서비스형 멀웨어(malware as a service)’가 쌍으로 발견됐다. 하나는 초보 사이버 범죄자들이 쉽게 디도스 공격을 할 수 있도록 해주는 것이고, 다른 하나는 랜섬웨어로, 감염된 피해자의 수에 따라 수수료를 다르게 받는다고 한다.


이를 발견한 건 보안 업체 포티넷(Fortinet)의 멀웨어 분석가인 로멜 요벤(Rommel Joven)과 에브게니 아나닌(Evgeny Ananin)으로, 디도스 공격과 관련된 여러 가지 서비스를 다크웹 포럼에서 심심찮게 발견할 수 있었다고 발표했다. 서비스형 랜섬웨어의 경우 IT 매체인 블리핑 컴퓨터(Bleeping Computer)가 보도했다. 이 서비스에 사용되고 있는 건 파일즈락커(FilesLocker)로, 중국과 미국 사용자들을 주로 노리고 있다고 한다.

포티넷이 발견한 디도스 키트는 부터(booter) 혹은 스트레서(stresser) 서비스인 것처럼 위장하고 있다고 한다. 부터나 스트레서란 디도스 공격을 대신 해주는 사람들을 말한다. 즉 공격을 대행해주는 게 아니라 공격을 쉽게 만드는 키트 등을 제공하는 것인데, 포티넷에 따르면 사용이 너무나 쉬워 사실상 누구라도 디도스 공격을 할 수 있게 해줄 정도라고 한다. 게다가 맞춤형 공격 설계도 가능할 정도로 유연한 게 특징이다.

요벤과 아나닌이 찾아낸 키트 중 하나는 10월 17일부터 운영되기 시작한 것으로, 0x-booter라는 이름을 걸고 있으며, 부시도(Bushido) 봇넷을 사용해 공격을 실시한다고 한다. 부시도는 2018년 9월에 처음 발견된, 비교적 따끈따끈한 새내기 봇넷이다.

이 서비스를 사용하면 단 한 명이 간단한 인터페이스를 통해(하지만 여러 가지 기능을 제공한다) 디도스 공격 캠페인을 처음부터 끝까지 설계 및 통제할 수 있게 된다. 홍보자들에 따르면 공격의 규모는 최대 초당 500GB이며, 약 2만 개의 봇들을 대동할 수 있다고 한다. 물론 공격의 강도나 빈도수는 공격자가 조정할 수 있는데, 이에 따라 서비스 가격이 20달러에서 150달러까지의 범위 내에서 달라진다.

가격표에 따르면 30달러 지불 시 두 번의 900초짜리 공격을 실시할 수 있으며, 24시간 지원 서비스가 제공된다. 또한 공격에 필요한 모든 툴을 사용할 수 있으며 일반적인 네트워크에 적용 가능하다. 포티넷에서 실험해본 결과 대부분의 웹사이트를 마비시킬 정도의 트래픽이 생성됨을 확인할 수 있었다. “약 300번의 공격이 이 서비스를 통해 이뤄진 것으로 보입니다.”

한편 파일즈락커 랜섬웨어 서비스는 그다지 ‘초보자 환영’의 분위기를 가지고 있지 않다. 즉 어느 정도 해킹 실력을 갖추고 있어야 활용할 수 있다는 것이다. 블리핑 컴퓨터에 의하면 이 ‘서비스형 랜섬웨어’를 제일 처음 발견한 건 Neutral8&9eR이라는 닉을 사용하는 보안 전문가로, 중국 멀웨어 포럼에서 볼 수 있다고 한다.

이 서비스의 신청자는 랜섬웨어 공격으로 인한 수익의 60%를 가져갈 수 있다. 그러나 피해자가 어느 정도 수를 넘어가면 이 비율이 75%까지 올라간다. 랜섬웨어 코드는 C#으로 작송되었으며, 총 용량이 212kb에 불과하다고 한다. 주로 여러 버전의 윈도우에서 작동하며, 중국어와 영어로 된 협박 편지와 인터페이스가 패키징 되어 있다.

파일을 암호화시키는 알고리즘은 RSA 2048+ AES이며, 데스크톱, 문서, 음악, 그림 폴더 내에 저장된 파일들을 암호화시킨다. 서비스 제공자는 “백신 서비스에 적발되지 않게 멀웨어를 심을 수 있고, 최소 하루에 10대 이상 감염시킬 수 있는 사람만 서비스를 신청하라”고 권고하고 있다.

3줄 요약
1. 서비스형 멀웨어 두 가지 발견 : 디도스와 랜섬웨어.
2. 디도스는 초보자도 쉽게 실행할 수 있게 구성된 키트.
3. 랜섬웨어는 어느 정도 해킹 기술과 경험이 있는 사람들에게 제공됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>