SNSLocker 랜섬웨어는 공격 방식이나 인터페이스 및 외관상 여타 크립토 랜섬웨어와 크게 다르지 않은 악성코드다. 하지만 트렌드마이크로에서 코드를 자세히 분석한 후 해당 랜섬웨어에서 놀라운 비밀을 발견했다. 바로, 악성코드 공격자의 서버에 접속할 수 있는 계정 정보가 포함되어 있다는 것이었다.
 
트렌드마이크로에 따르면, SNSLocker의 제작자가 랜섬웨어를 만들어 공격하기 시작한 이유를 어렵지 않게 유추해 볼 수 있다. 맞춤 제작한 서버 또는 지불 시스템이 아닌, 기성 서버 및 지불 시스템을 사용한 것으로 보아, SNSLocker의 제작자 역시 빠르게 돈을 벌 수 있는 랜섬웨어에 매력을 느낀 것이다.

 
많은 사이버 공격자들이 랜섬웨어 공격을 행하는 이유는 바로 대규모 감염이 가능하고 투자 회수율이 빠르게 이루어진다는 것이다. 하지만 SNSLocker 제작자가 서버 정보를 코드에 노출한 것으로 보아 너무 급히 제작을 했거나 코드 제작에 큰 투자를 하지 않았다고 생각할 수 있다. 해당 서버 정보는 여러 보안 전문가들이 소셜 미디어에 이미 공유하였다. 이 회사는 해당 분석사항을 법률 집행기관에 제보했다.
 
SNSLocker(트렌드마이크로에서 RANSOM_SNSLOCKER.A로 탐지)는 대부분의 크립토 랜섬웨어군에서 발견되는 타이머, 위협 메시지, 암호화, 지불 링크 연결, 몸값 요구 등의 기능을 가지고 있다. SNSLocker의 평균 요구 몸값은 미화300달러다.
 
SNSLocker는 Newtonsoft.Json과 MetroFramework UI와 같은 대중적인 라이브러리를 활용해 .Net Framework 2.0으로 제작되었습니다. 또한 Microsoft .Net Crypto API를 사용하여 시간을 단축했다.
 
앞서 말한 바와 같이 SNSLocker의 코드에는 악성코드의 서버와 로그인 정보를 알 수 있는 코드열이 존재한다. 코드에 적힌 비밀번호를 이용하면 누구나 해당 서버에 접속할 수 있고, 이를 활용해 복호화 키도 알아낼 수 있다.
 
트렌드마이크로의 연구에 따르면 공격자는 무료 호스팅 공급자의 서버를 제공받아 C&C 및 결제 서버로 활용했다. 이러한 방식으로 공격자는 계정 유지보수에 지불되는 비용이 거의 없다. SNSLocker는 몸값을 적법한 암호화 화폐 게이트웨이를 통하여 지불받는다. 이것은 제작자가 맞춤형 지불 시스템을 구축하는 데 크게 의미를 부여하지 않았다는 것을 의미한다.
 
마지막으로, SNSLocker는 여러 지역으로 확산된 것을 확인했다. 분석 당시 피해자는 전 세계 여러 나라에 분포되어 있다. 미국에서 가장 많은 피해자가 발생했으며, 한국도 두 번째로 많은 6.26%를 기록했다.

 
SNSLocker는 랜섬웨어가 만연한 현실을 잘 반영한다. 사이버 범죄자들은 단기간 내에 랜섬웨어 시스템을 빠르게 구축하고 전세계적으로 배포시킬 수 있다. 사이버 범죄자들이 확산 배포 플랫폼을 이용하든, 서비스형 랜섬웨어를 구축하든, 자신의 작은 오퍼레이션을 실행하던, 랜섬웨어가 바로 돈이다.
 
트렌드마이크로 관계자는 “SNSLocker와 같은 랜섬웨어의 공격으로부터 위협을 최소화하기 위해 대기업과 중소기업 및 개인 사용자를 위한 다양한 솔루션을 제공한다”며 “트렌드마이크로 랜섬웨어 복호화 툴은 특정 크립토 랜섬웨어를 복호화할 수 있는 무료 툴이다. 이 툴을 사용해 랜섬웨어 피해자들은 범죄자에게 돈을 지불하지 않고 데이터를 복구시킬 수 있다”고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com