• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 사법부, 삼삼 랜섬웨어 범인으로 이란인 두 명 기소 2018.11.30

삼삼 랜섬웨어의 배후로 31세 청년과 27세 청년 지목돼
이란 정부도 연결되어 있을까? 아직 이 부분은 불분명해

[보안뉴스 문가용 기자] 미국 사법부가 현지 시각으로 수요일 두 명의 이란인 남성을 기소했다. 바로 악명 높은 삼삼(SamSam) 랜섬웨어와 연루된 인물이라는 것이 그 이유였다. 이 두 인물은 파라마즈 샤히 사반디(Faramarz Shahi Savandi, 31세)와 모하마드 메디 샤 만수리(Mohammad Mehdi Shah Monsouri, 27세)이다.

[이미지 = iclickart]


이 두 명의 랜섬웨어 공격자들은 전자 금융 사기를 위한 공모, 사기를 위한 공모, 컴퓨터 관련 악질 행위, 컴퓨터 시스템에 대한 의도적 피해 입히기, 컴퓨터 시스템에 피해를 입히겠다는 것을 빌미로 협박 등 6건의 해킹 및 협박 관련 혐의를 받고 있다.

사법부에 의하면 사반디와 만수리는 2015년 12월 삼삼 랜섬웨어를 개발하고, 계속해서 향상시켜왔다고 한다. 둘은 200개가 넘는 조직을 표적 삼아 삼삼 랜섬웨어를 뿌렸고, 약 3천만 달러의 피해를 입혔다.

삼삼 랜섬웨어의 대표적인 피해자 중 하나는 바로 애틀랜타 시로, 피해 복구를 위해 드는 비용이 1천만 달러를 거뜬히 넘을 것이라고 예측된다. 또한 최근에는 샌디에이고 항구도 삼삼 랜섬웨어에 당했고, 이 역시 사반디와 만수리가 직접 개입되어 있다고 사법부는 밝혔다. 그 외에 뉴어크 시, 콜로라도 교통국, 캐나다 캘거리대학, 몇몇 주요 의료 단체들도 삼삼에 당했다.

두 이란인은 삼삼 랜섬웨어를 사용하기 전에 자신들이 표적으로 삼는 조직에 대한 조사와 연구를 실시했다고 한다. 무작위로 랜섬웨어를 흩뿌리는 게 아니라 자신들의 공격이 잘 통할만한 상대들만을 노린 것이다. 그 대가로 이 둘은 최소 6백만 달러를 벌어들였다고 사법부는 보고 있다. 2018년 1월, 보안 전문가들은 “삼삼 랜섬웨어 운영자들이 4주만에 32만 5천 달러를 벌었다”는 발표를 한 바 있다.

삼삼 랜섬웨어는 사마스(Samas)나 삼삼크립트(SamsamCrypt)라는 이름으로도 보안 조직들의 추적을 받아왔으며, 다른 랜섬웨어와 마찬가지로 컴퓨터 내 여러 파일들을 암호화시킨다. 그러고는 피해자들에게 돈을 요구했다. 주로 비트코인을 통해 수만 달러를 입금하라는 내용이었다. 입금된 비트코인을 사반디와 만수리는 이란의 비트코인 거래소에서 현금으로 바꿨다.

이 둘은 토르(Tor)라는 익명성 네트워크를 활용하기도 했다. 이를 통해 자신들의 악성 행위를 감춘 것인데, 심지어 이란에서의 정규 근무 시간 외에 활동함으로써 추적을 더 어렵게 만들었다. 또한 삼삼 랜섬웨어로 데이터 백업들도 암호화시켜 피해자들이 꼭 돈을 지불하도록 만들기도 했다.

사반디와 만수리는 FBI가 배포하는 ‘사이버 지명수배자’ 목록에 오르기도 했다. 하지만 아직 이들을 잡을 수 있게 해주는 자나 정보를 제공해주는 자에게 특별한 보상이 주어지지는 않는다.

아직 미국 정부가 이 둘과 이란 정부 사이의 관계에 대해 어떤 식으로 생각하고 있는지는 확실하지 않다. 즉 정부의 지원으로 이러한 공격을 한 것인지 아닌지, 미국은 어떤 방향으로 믿고 있는지 이번 기소장에서 드러나지 않았다는 것이다. 하지만 이란 정부가 관여되어 있다고 해도 놀라울 것이 없다는 게 전문가들의 의견이다. 왜냐하면 북한 정부도 돈을 목적으로 한 사이버 공격을 직접 주도한 전적이 있기 때문이다.

북한과 이란 모두 억압적이고 폭력적인 국정 운영 때문에 지독한 경제난에 시달리고 있는데다가 국제 제재 대상이었거나 대상으로 국고가 말라가고 있다. 북한은 이미 그렇게 했고 이란도 이를 타계하기 위해 사이버 공격을 택해도 이상할 것이 없다.

3줄 요약
1. 미국 사법부, 삼삼 랜섬웨어 개발자 및 운영자인 이란인 2명 기소.
2. 이란의 근무시간 외에 활동하고, 토르 네트워크 활용하고, 백업 드라이브도 암호화하는 등 꼼꼼한 공격.
3. 이란 정부와의 커넥션은 아직 불분명하지만, 연결되어 있다고 해도 이상할 것 없음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>