2020-04-10 02:05 (금)
카스퍼스키랩-네덜란드 경찰 공동대응, ‘CoinVault 랜섬웨어’ 무력화
상태바
카스퍼스키랩-네덜란드 경찰 공동대응, ‘CoinVault 랜섬웨어’ 무력화
  • 길민권
  • 승인 2015.11.04 13:56
이 기사를 공유합니다

지난 4월부터 총 1만4천755개 복호화 키, 피해자들에게 제공돼 복구
카스퍼스키랩에서 랜섬웨어 대응 센터인 noransom.kaspersky.com에 1만4천31개의 복호화 키를 추가적으로 업로드함으로써 CoinVault 및 Bitcryptor 랜섬웨어의 피해를 입었던 모든 사용자들이 범죄자들에게 단 한 푼의 비트코인을 지불하지 않고도 암호화된 데이터를 되찾아 올 수 있게 되었다.
 
지난 4월부터 총 1만4천755개의 복호화 키가 피해자들에게 제공되어, 카스퍼스키랩의 보안 전문가가 개발한 전용 복호화 애플리케이션을 통해 암호화된 파일을 찾을 수 있게 된 것이다. 네덜란드 검찰청에서 CoinVault의 C&C 서버에서 복호화 키를 입수했고 9월에는 네덜란드 경찰이 랜섬웨어 공격 용의자 2명을 네덜란드에서 검거했다. 이렇게 용의자를 검거하고 서버에서 복호화 키를 확보함으로써 드디어 CoinVault 공격이 막을 내리게 됐다.   
 
CoinVault 사이버 범죄자들은 전 세계 수만 대의 컴퓨터를 감염시키려고 시도했다. 그 결과 네덜란드, 독일, 미국, 프랑스, 영국을 중심으로 피해가 발생했고, 피해를 입은 총 국가 수는 108개에 이릅니다. 이들은 1,500대 이상의 Windows 기반 시스템을 암호화하는 데 성공했고 이를 복호화하는 대가로 비트코인을 요구했다.
 
카스퍼스키랩은 2014년 5월 CoinVault의 최초 버전을 발견한 바 있으며, 그 후에는 관련된 모든 악성 코드 샘플을 면밀하게 분석해 네덜란드 경찰국의 NHTCU(National High Tech Crime Unit)와 네덜란드 경찰청에서 주도하는 수사에 크게 기여했다. 공동 조사 기간 동안 NHTCU와 네덜란드 검찰청은 CoinVault C&C 서버의 데이터베이스를 확보했다. 이 서버는 초기화 벡터(IV), 복호화 키, 개인 비트코인 지갑이 포함되어 있었고 카스퍼스키랩과 NHTCU의 지원으로 복호화 키를 제공하는 전용 대응 웹사이트인 noransom.kaspersky.com을 구축했다. 
 
카스퍼스키랩 이창훈 지사장은 “CoinVault 랜섬웨어의 범죄 행각은 이제 끝이 났다. 남아 있는 피해자들도 곧 파일을 되찾을 수 있고 용의자들도 검거되었다. 이 모든 것이 네덜란드 경찰, 카스퍼스키랩, Panda Security가 힘을 합친 덕분”이라며 “CoinVault 수사는 모든 복호화 키를 확보할 수 있었다는 점에서 기념비적인 사건이라고 볼 수 있다. 모두의 노력 덕분에 사이버 범죄자의 비즈니스 모델을 붕괴시킬 수 있었다”고 말했다.

카스퍼스키랩 글로벌 분석팀(GReAT)은 "많은 회사에서 랜섬웨어 공격을 받고 대가를 지불해야 할지를 고민한다. 그러나 보안 업계에서는 공격자에게 돈을 주는 것이 결코 문제의 해결책은 되지 않는다고 보고 있다. 대가를 지불하게 되면 동일한 범죄가 계속 판을 치게 될 것이고, 지불하지 않는다면 이러한 방식이 돈벌이가 되지 않는다는 점을 알고 그만 두게 될 것이다. 뿐만 아니라 대가를 지불한다고 해서 암호화된 파일을 되찾을 수 있다는 보장이 없다”고 전하며 “그보다 지금의 보호 체계를 점검하는 것이 좋다. 요즘 랜섬웨어는 범죄자들이 아주 쉽게 돈을 벌 수 있는 수단으로 성행하고 있고 감염 위험도 매우 높다. 따라서 개인 사용자나 기업 모두 백업 데이터를 반드시 보관하고, 안티 바이러스 소프트웨어를 업데이트하며, 의심스러운 링크나 첨부 파일을 열지 않도록 주의해야 하고, 범죄자들이 파일을 감염시키는 데 사용하는 사회 공학적 기법에 대해 알고 있어야 한다”고 강조했다.

카스퍼스키랩에서 개발한 전용 복호화 애플리케이션은 noransom.kaspersky.com에서 무료로 다운로드할 수 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com