• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

다크사이드 랜섬웨어 운영자, 이란에 분산 서버 마련하겠다고 공표 2020.11.18

피해자들의 데이터를 훔치기도 하는 랜섬웨어 공격자들…토르로 거래해
다크사이드는 이란에 분산 스토리지 인프라 마련하겠다고 발표…실현되면 재앙

[보안뉴스 문가용 기자] ‘서비스형 랜섬웨어’ 사업자인 다크사이드(DarkSide)가 얼마 전부터 분산 스토리지 시스템이라는 체제를 구축했다고 광고하고 있다. 피해자들로부터 훔친 데이터를 이란 여기저기에 분산시켜서 저장해 둔다는 것인데, 이는 랜섬웨어 피해 조직들에게 꽤나 위협적일 수 있는 소식이다.

[이미지 = utoimage]


만약 이들의 분산 스토리지 모델이 성공으로 이어진다면 많은 랜섬웨어 운영자들이 비슷한 시도를 할 것으로 보인다. 보안 업체 켈라(KELA)의 수석 위협 분석가인 빅토리아 키빌레비치(Victoria Kivilevich)는 “타국 여기저기에 데이터가 흩어져 있다면 랜섬웨어 운영자들을 찾아서 잡아내는 게 무척이나 힘들어질 것”이라고 보고 있다. 특히 이란처럼 국제 공조가 잘 이뤄지지 않는 나라라면 더욱 그러하다.

이란과 같은 국가에 훔친 데이터를 분산 저장할 경우의 이점은, 훔친 데이터를 사가려는 고객들(또 다른 사이버 범죄자들)이 데이터를 다운로드 받는 게 더 쉬워진다는 것이다. 현재 범죄자들은 토르 네트워크를 통해서 데이터를 교환하는데, 이는 꽤나 느리고 불편하다. “결국 사이버 범죄자들의 사업 운영이 점점 더 큰 규모로 변해가고 있고, 조직력이 갖춰지고 있다는 뜻입니다. 그럴수록 좀 더 복잡한 인프라를 구성하고 유지할 수 있게 됩니다. 이번 분산 저장 시스템처럼 말이죠.”

켈라는 다크사이드의 광고문을 제일 처음 발견해 알린 보안 업체다. 다크사이드는 최근 두 개의 공고문을 자신들의 블로그에 올렸다. 첫 번째 게시글은 고객들을 위한 분산 스토리지 시스템을 구축하겠다는 내용으로 훔친 데이터를 최소 6개월 동안 저장해 둔다는 방침도 공지되어 있다. 아직까지는 자신들의 고객들만을 위한 시스템으로 보이며, 다른 랜섬웨어 사업자들에게 분산 스토리지를 대여할 것인지는 불투명하다.

다크사이드가 이러한 시스템을 구축하는 이유는, 최근 보안 업체들과 사법기관이 랜섬웨어 공격자들의 정보 공개용 웹사이트들을 찾아 폐쇄시키는 시도를 이어가고 있기 때문이다. 랜섬웨어 피해자들이 돈을 내지 않을 경우를 대비해 마련한 사이트가 폐쇄된다면 수익에 큰 차질이 생기기 때문에, 랜섬웨어 공격자들은 새로운 대책을 마련하고 있는 것으로 보인다.

그러면서 다크사이드는 자신들이 구축하고 있는 분산 스토리지 시스템이 이란에 마련될 것이라고도 발표했다. 그 외에 이름을 밝힐 수 없는 나라들에도 일부 구축될 것이라고 했는데, 이 나라들에 있으면 국제 공조를 통한 폐쇄가 쉽지 않을 것이라고 장담하기도 했다.

두 번째 게시글에서 다크사이드는 갑자기 이란에 여러 서버를 마련해 데이터를 저장해 놓는다는 계획을 실천하는 데 있어 세부 사항 몇 가지를 놓친 것 같다고 언급했다. 아직 이들의 방대한 계획이 실현되지는 않은 것 같다. 또한 아직 훔친 데이터를 서버들에 저장하지 않았다고 밝혔다.

흥미로운 건 이들이 “랜섬웨어 피해자들이 미국 재무부가 지정한 제재 국가에 포함되어 있지 않다”는 것이다. 또한 자신들도 “그러한 나라의 국민이 아니며, 이란 시민도 아니”라고 밝혔다. 이는 얼마 전 미국 재무부가 랜섬웨어 공격자들을 제재한다고 발표한 것과 관련이 있다. 미국 재무부의 발표는, ‘랜섬웨어 공격자들과 협상해서도 안 되고 돈을 내서도 안 된다’는 뜻인데, 다크사이드 공격자들은 “제재 대상이 아니니 거래를 해도 괜찮다”고 주장한 것이다.

켈라는 랜섬웨어 공격자들이 자신들의 다음 프로젝트를 대대적으로 공개한 건 이번이 처음이라고 말한다. 게다가 분산 스토리지 시스템에 훔친 파일을 저장한다는 아이디어는 듣도 보도 못했다고 한다. 하지만 아직까지 이들이 어느 정도 규모로 인프라를 구축할 예정인지 확실히 알 수가 없다. 심지어 허풍일 가능성도 낮지 않다. 그러나 키빌레비치는 “다크사이드라면 현재까지 거둬들인 수익으로 대규모 인프라를 구축할 정도가 된다”고 설명한다.

최근 다크웹에는 ‘서비스형 랜섬웨어’ 사업자들이 빠르게 증가하고 있다. 위협 첩보 전문 업체인 인텔 471(Intel 471)은 최근 자사 블로그를 통해 “올 한 해 우리가 발견한 서비스형 랜섬웨어 사업 시작 단체만 해도 25곳이 넘는다”고 밝혔다. 게다가 공식적으로 서비스형 랜섬웨어 사업을 벌이는 게 아니라 비밀리에 진행하는 곳도 많기 때문에 현재 랜섬웨어 관련 범죄자들의 수를 정확히 파악할 수 없다고도 썼다.

3줄 요약
1. 서비스형 랜섬웨어 사업자 다크사이드, 최근 새로운 계획 공개.
2. 이란처럼 국제 수사로 추적 힘든 곳에 피해자 데이터를 분산 저장하겠다는 것.
3. 아직 실현되지 않은 듯 하지만, 유행하면 범죄자 체포 한결 힘들어질 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>