본문 바로가기
IT 와 Social 이야기

[IITP] 구글 랜섬웨어 몸값 경로 추적 결과

by manga0713 2017. 8. 30.

 

 

 

 

■ 구글이 2016년부터 랜섬웨어의 몸값 지불 프로세스를 추적한 결과, 2,500만 달러 이상이 실제 범죄자들에게 지불된 것으로 나타남

 

 

- 구글, 체이낼러시스(Chainalysis 비트코인 조사 기관), 캘리포니아, 샌디에이고, 뉴욕 대 등이 조사에 참여, '블랙햇(Black Hat) 2017'에서 발표

 

- 조사방식: 미끼 PC에 일부러 랜섬웨어를 감염시켜 랜섬웨어의 구조를 해독했으며, 동시에 몸값을 실제로 비트코인으로 지불하여 범인이 사용하는 비트코인 지갑을 색출한 다음 범인 사용한 지갑의 거래 이력을 조사하였음

 

- 범인의 지갑 거래 내역을 통해 랜섬웨어로 벌어 들인 몸값 금액을 산출했는데, 비트코인 거래 이력은 체이낼러시스가 담당하였음

 

- 구글에 따르면 비트코인으로 몸값 지불을 요구하는 랜섬웨어는 2013년경부터 나타났으나 본격화 된 계기는 2016년에 등장한 '락키(Locky)'였다고 함

 

- 2013년 3분기부터 2017년 2분기까지 2,525만 달러가 넘는 몸값이 비트코인으로 지급되었으며 비트코인 거래소에서 환전되었음

 

- 랜섬웨어 '밀리언 달러 플레이어': 락키 780만 달러, 케르베르(Cerber) 690만 달러, 크립토락커(CryptoLocker) 200만 달러, 크립트 XXX(CryptXXX) 190만 달러, 워너크라이(WanaCry)는 의외로 10만 달러

 

- 랜섬웨어를 유포한 범인들은 대부분 러시아인이 운영하는 비트코인 거래소 'BTC-e'를 통해 환전하는 것으로 조사됨. 이번 조사에서 추적할 수 있었던 몸값의 무려 95%가 러시아인이 운영하는 이 거래소에 예치되어 있다고 함

 

- 랜섬웨어에 감염된 피해자가 몸값 지불에 사용할 비트코인을 구입한 거래소를 보면, 1위 'LocalBitcoins.com', 2위 'Bithumb.com', 3위 'Coinbase.com'으로 나타났음

 

** 이번 구글이 추적 조사에 의해 비트코인에 의한 몸값 지불을 추적할 수 있다는 것이 알려졌고, 몸값의 환전이 이루어지던 거래소가 운영자의 체포(알렉산더 비닉, 조사발표 하루 전 날 체포)로 조만간 폐쇄되면 익명성이 크게 약활될 것으로 보여, 최소한 당분간은 랜섬웨어의 기승이 덜할 것으로 예상됨

 

 

 

■ 구글은 "락키, 케르베르, 스포라"의 구조를 예를 들며 랜섬웨어 기술 수즌이 빠르게 향상되고 있음을 보여주었음

 

- 락키에 관해서 지적된 것은 이 랜섬웨어는 '네커스(Necurs)'라는 봇넷을 이용해 확산된다는 점인데, 봇넷을 멀웨어에 감염된 다수의 컴퓨터로 구성된 네트워크인데 랜섬웨어를 확산시키는 '전달 서버'로 변할 수 있다는 것임

 

- 케르베르는 '랜섬웨어 애즈 어 서비스(RaaS)'의 대표격인데, RaaS는 말 그대로 랜섬웨어를 빌려 쓸 수 있게 해주는 서비스라는 뜻으로, 랜섬웨어와 함께 희생양을 노리는 피싱 메일을 전송하는 방법을 제공해 주는 것임

 

- 이러한 RaaS를 이용하여 기술을 잘 알지 못하는 범죄자라도 랜섬웨어를 악용할 수 있게 됨에 따라 랜섬웨어의 피해가 더 커지고 있는 것인데, 케르베르는 감염 후 1분 이내에 사용자의 데이터를 암호화 해 버리는 것이 특징임

 

- 스포라(Spora)는 랜섬웨어의 비즈니스를 더욱 진화시킨 것으로, 이 랜섬웨어에 감염된 피해자에 대해 비트코인을 이용한 지불 방법 등을 가르쳐 주는 온라인 채팅을 제공하는 등 매우 진화된 사용자 인터페이스를 갖추고 있음

 

 

 

■ 구글 연구원들은 이처럼 랜섬웨어가 진화하고 있는 반면 많은 사용자들이 데이터를 외부매체에 백업하지 않기 때문에 피해가 확산되고 있다면, 백업의 중요성을 강하게 호소

 

 

 

** 결국 랜섬웨어 문제는 피해자들의 보안 의식이 부족해서 생기는 것이며, 민감한 정보에 접근하려는 해커들이 이용할 수 있는 사회공학적 기법과 피싱 메일에 대해 더 잘 이해하려는 노력이 부족한 데서 발생하는 것이라는 점을 명확히 인식할 필요가 있음

 

 

 

*** 출처: [IITP] 최신 ICT 이슈 III. 구글 랜섬웨어 몸값 경로 추적, 월 100만 달러를 번 것도 존재

*** 문서:

181106.pdf