[아이티비즈] 체크포인트소프트웨어테크놀로지스는 세계 최대 규모로 운영되고 있는 서비스 프랜차이즈 형태의 랜섬웨어 ‘서버(Cerber)’에 대한 조사결과를 발표했다.
이번 발표는 확장일로에 있는 서비스 형태의 랜섬웨어(ransomware-as-a-service) 산업을 파헤쳤을 뿐 아니라, 사이버 범죄조직이 요구하는 거액의 랜섬을 지불하지 않고도 체크포인트 연구원들이 피해자 및 피해기업을 도와 암호화된 파일에 도달하는 접근경로까지 공개했다.
체크포인트의 위협 지능 및 연구팀는 리서치 파트너 인트사이트 사이버 인텔리전스와 함께 파악한 서버의 기술 및 비즈니스 운영에 대한 새로운 세부정보와 분석내용을 60페이지 분량의 보고서에 담았다.
① 전체 랜섬웨어 중 서버(cerber)의 감염율은 상당히 높은 편이고, 수익율도 높다. ‘서버’는 현재 전세계적으로 160건 이상의 캠페인을 활발히 진행하고 있으며 연수입은 대략 230만 달러에 이르는 것으로 추정된다. 일평균 8건 정도의 새로운 활동을 개시한다. 7월에만 201개국에서 약 15만명의 피해자가 발생한 것으로 알려져 있다.
② 서버( 관련조직들은 돈세탁을 성공적으로 해내고 있다. 서버는 흔적을 없애기 위해 비트코인을 사용하고 있으며 피해자로부터 돈을 수신하는 데 특화된 독특한 월렛(wallet)을 사용한다. 피해자는 랜섬을 지불하면(보통 1비트코인 - 현재 약 590달러 가치) 바로 암호해지 코드를 제공받는다. 비트코인은 여러 서비스를 거쳐 멀웨어 개발자한테 전달된다. 이 과정에 사용되는 여러 서비스에는 수만 개의 비트코인 월렛이 연루되어 있어 하나하나를 추적하는 것은 거의 불가능하다. 프로세스를 다 거치면 돈이 개발자의 수중에 들어가며 관련조직은 일정비율의 수수료를 수신한다.
③ 서버는 더 많은 잠재 해커들의 관문이다. 서버는 기술지식이 없는 개인과 집단들이 고수익 사업에 참여하게 할 뿐 아니라, 독립적인 캠페인을 운영할 수 있게 해준다. 이 과정에서 배정된 일련의 명령과 통제(Commend & Control) 서버와 12개의 언어가 가능한 편리한 제어패널을 사용한다.
체크포인트 연구 및 개발 부문의 마야 호로비츠 그룹 매니저는 “사이버 공격은 이제 국가 단위의 활동가나 본인의 툴을 자체적으로 만들 수 있는 기술역량을 가진 자들만의 전유물이 아니라, 누구나 접근가능하며 상당히 쉽게 운영할 수 있어 매우 빠른 속도로 확장되고 있다”며 “우리는 이러한 상황에 적절한 주의를 기울이면서 관련 보호기제를 구현해야 할 것”이라고 말했다.
