최종편집시간 : 2017년 02월 21일 18:24
EBN
페이스북 트위터 네이버뉴스스탠드
실시간 News

"불법 랜섬웨어를 유포해 준다고?"…보안 위협 ‘큰일이네’

RaaS, 수요·공급 매개해 랜섬웨어 생태계 키워
사이버 범죄자 특정인 한정 어려워져

김언한 기자 (unhankim@ebn.co.kr)

등록 : 2017-01-06 14:39

▲ 상용화된 필라델피아 랜섬웨어 제작툴 화면.ⓒ하우리

악성코드 유포 대행서비스가 랜섬웨어 생태계를 키우며 우려를 낳고 있다. 과거 사이버 공격은 전문적인 IT지식을 보유한 해커에 의해 자행됐지만 이제는 '쉬운 비즈니스'가 됐다. 누구나 돈을 지불하면 더 큰 돈을 벌 수 있게 됐다.

6일 관련업계에 따르면, 올해는 대중화된 공격 툴을 이용한 사이버 공격이 더욱 기승을 부릴 전망이다. 랜섬웨어 제작 툴이 쉽게 보급됨에 따라 사이버 범죄자를 해커로 특정짓는 것도 어려워진다.

'서비스형 랜섬웨어(RaaS)'는 랜섬웨어에 대한 제작 및 유포를 대행해주는 일종의 불법 서비스다. 랜섬웨어를 통해 수익을 얻고자 하는 공격자는 대행업자에게 의뢰해 맞춤형 랜섬웨어를 구매한다.

일정 비용을 지불하면 누구나 랜섬웨어 공격자가 된다. 랜섬웨어를 무작위로 뿌려 피해자 PC 데이터를 암호화한 뒤 이를 풀어주는 대가로 금전 갈취에 성공하면 더 큰 돈을 벌 수 있다. 이에 따라 수요자와 공급자가 유기적으로 활동하는 시장이 형성됐다.

지난해 랜섬웨어 제작 툴로 제작돼 국내로 유입된 대표적인 랜섬웨어는 '필라델피아(Philadelphia)'다.

필라델피아 랜섬웨어 제작 툴은 작년 9월부터 블랙마켓을 통해 약 400달러(약 45만원) 가격에 판매됐다. 누구나 쉽게 공격자가 돼 불법적인 수익을 꾀할 수 있는 금액이다.

범죄자들은 해당 툴을 구매한 뒤 필라델피아 랜섬웨어를 제작했다. 웹 서핑 도중 감염되도록 웹브라우저 및 플러그인의 취약점을 이용해 '선다운(Sundown)' 익스플로잇킷을 통해 유포시켰다.

최상명 하우리 침해사고대응조직(CERT) 실장은 "저렴한 상용 랜섬웨어 제작 툴이 공개되며 많은 범죄자들이 쉽게 랜섬웨어에 관여할 수 있게 됐다"며 "백신을 최신으로 업데이트하고 다양한 무료 솔루션들을 활용해 예방하는 것이 필요하다"고 밝혔다.

▲ 화면잠금 랜섬웨어 '윈락커(WinLocker)' 감염 시 나타나는 화면.ⓒEBN

미국 IT 전문매체 와이어드(Wired)에 따르면, 지난 2012년 '윈락커(WinLocker)' 랜섬웨어 키트는 10~20달러 가격에 판매됐다. 화면을 잠궈 파일 접근을 막는 악성코드였지만 암호화를 통해 실제로 피해를 주는 것은 불가능에 가까웠다. '몸값'에 대한 갈취가 어려웠다.

하지만 최근 랜섬웨어는 금전을 지불한 뒤 복호화 키를 받지 않고서는 복구가 불가능할 정도로 진화했다. 수익률이 높다는 것이 알려지며 지난 한 해에만 62개의 신종이 출현했다. 개인 사용자를 대상으로 한 공격은 10초에 1번꼴로 나타나 빈도가 늘었다.

특히 RaaS 비즈니스 모델이 확산됐다. 랜섬웨어가 자체적으로 악성코드를 개발하지 않는 일반인의 관심을 사로잡고 있다는 방증이다. 랜섬웨어를 사전 연습할 목적으로 개발된 랜섬웨어까지 신종 랜섬웨어 '데드 크립토(Ded Cryptor)'와 '팬텀(Fantom)'을 탄생시켰다.

안랩은 최근 발표한 '2017년 보안 위협 동향' 보고서를 통해 "(RaaS 대중화로 인해) 사이버 범죄자를 특정인 또는 그룹으로 한정지을 수 없게 됨에 따라 이에 대한 대응 및 수사가 더 어려워질 것"으로 전망했다.

▲ 2016년 랜섬웨어 증가에 대한 인포그래픽.ⓒ카스퍼스키랩

카스퍼스키랩에 따르면, 최근 코드 개발자는 개발한 악성코드 및 바이러스를 요청자에게 돈을 받고 제공하며 요구에 따라 수정된 버전도 판매한다. 공격자가 스팸 및 웹사이트를 통해 유포하면 이에 대한 수수료를 개발자에게 지급하게 된다. 실질적인 이득은 코드 개발자에게 가장 많이 돌아가는 구조다.

업계 관계자는 "RaaS 시장은 수요와 공급의 법칙에 의해 생태계가 조성돼 올해 전세계 사이버 보안의 위험성을 더 키우게 될 것"이라며 "랜섬웨어는 공격 성공 시 얻게 되는 수익이 크기에 RaaS은 장기적인 보안 위협이 될 수 있다"고 우려했다.