2024-03-29 02:20 (금)
랜섬웨어 '서버’의 자금 경로 추적 성공
상태바
랜섬웨어 '서버’의 자금 경로 추적 성공
  • 길민권 기자
  • 승인 2016.08.24 16:23
이 기사를 공유합니다

연구원들의 조사결과 바탕으로 암호해독 툴 구축, 랜섬 지불 없이 감염된 시스템 치료

체크포인트 소프트웨어 테크놀로지스는 세계 최대 규모로 운영되고 있는 서비스 프랜차이즈 형태의 랜섬웨어 ‘서버(Cerber)’에 대한 조사결과를 공개했다.

체크포인트는 보고서를 통해 복잡한 사이버 활동을 진행하는 서버의 가려진 모습들을 공개했다. 이번 발표는 확장일로에 있는 서비스 형태의 랜섬웨어 산업을 파헤쳤을 뿐 아니라 사이버 범죄조직이 요구하는 거액의 랜섬을 지불하지 않고도 체크포인트 연구원들이 피해자 및 피해기업을 도와 암호화된 파일에 도달하는 접근경로까지 공개했다는 점에서 그 의의가 크다.

체크포인트의 위협 지능 및 연구팀은 리서치 파트너 인트사이트 사이버 인텔리전스와 함께 파악한 서버의 기술 및 비즈니스 운영에 대한 새로운 세부정보와 분석내용을 60페이지 분량의 보고서에 담았다. 그 내용은 다음과 같다.

▲전체 랜섬웨어 중 서버의 감염율은 상당히 높은 편이고 수익율도 높다.
서버는 현재 전세계적으로 160건 이상의 캠페인을 활발히 진행하고 있으며 연수입은 대략 230만 달러에 이르는 것으로 추정된다. 일평균 8건 정도의 새로운 활동을 개시한다. 7월에만 201개국에서 약 15만 명의 피해자가 발생한 것으로 알려져 있다.

▲서버(cerber) 관련조직들은 돈세탁을 성공적으로 해내고 있다.
서버는 흔적을 없애기 위해 비트코인을 사용하고 있으며 피해자로부터 돈을 수신하는 데 특화된 독특한 월렛(wallet)을 사용한다. 피해자는 랜섬을 지불하면(보통 1비트코인-현재 약 590달러 가치) 바로 암호해지 코드를 제공받는다. 비트코인은 여러 서비스를 거쳐 멀웨어 개발자한테 전달된다. 이 과정에 사용되는 여러 서비스에는 수만 개의 비트코인 월렛이 연루되어 있어 하나하나를 추적하는 것은 거의 불가능하다. 프로세스를 다 거치면 돈이 개발자의 수중에 들어가며 관련조직은 일정비율의 수수료를 수신한다.

▲서버(cerber)는 더 많은 잠재 해커들의 관문이다.
서버는 기술지식이 없는 개인과 집단들이 고수익 사업에 참여하게 할 뿐 아니라 독립적인 캠페인을 운영할 수 있게 해준다. 이 과정에서 배정된 일련의 명령과 통제 서버와 12개의 언어가 가능한 편리한 제어패널을 사용한다.

2016년 6월 이후 체크포인트와 인트사이트는 서버(cerber)가 개발한 복잡한 시스템맵과 글로벌 유통 인프라스트럭처를 파악해 왔다. 연구원들이 실제 피해자 월렛을 생성할 수 있었기 때문에 프로젝트팀은 지불과 거래상황을 모니터할 수 있었고 이에 따라 멀웨어와 돈의 흐름으로 확보된 수입을 추적할 수 있게 되었다. 이렇게 파악한 정보는 암호해독 툴의 청사진을 제공하였고 이를 통해 피해자 또는 피해기업들은 사이버 범죄자의 랜섬요구에 굴복하지 않고도 감염된 시스템을 치료할 수 있었다.

체크포인트 연구 및 개발 부문의 마야 호로비츠(Maya Horowitz) 그룹 매니저는 “이번 조사로 커져가는 랜섬웨어 서비스 산업의 특성과 전세계 공격 대상에 대해 파악할 흔치 않은 기회를 가졌다”라고 전했다. 그는 “사이버 공격은 이제 국가 단위의 활동가나 본인의 툴을 자체적으로 만들 수 있는 기술역량을 가진 자들만의 전유물이 아니라 누구나 접근가능하며 상당히 쉽게 운영할 수 있어 매우 빠른 속도로 확장되고 있다”라며 “우리는 이러한 상황에 적절한 주의를 기울이면서 관련 보호기제를 구현해야 할 것”이라고 말했다.

★정보보안 & IT 대표 미디어 데일리시큐!★ 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★