보안

"사상 최악의 악성코드" 렌섬웨어의 진화와 양산화

John P. Mello, Jr. | PCWorld 2014.03.11
악성코드의 성공은 악성코드 개발을 부추기는 원동력이다. 바로 이런 일이 다음달 랜섬웨어에 일어날 것으로 보인다.

랜섬웨어의 역사는 10년이 넘었지만 지난해 가을 크립토락커(CryptoLocker)가 등장하고 나서야 이 나쁜 앱의 사악한 잠재성이 현실화됐다.

델 시큐어웍스(Dell SecureWorks)는 이 악성 소프트웨어가 2013년 마지막 4개월 동안에만 500만 달러 규모의 돈을 가로챘다고 밝혔다. 이전까지 다른 랜섬웨어 제조업자들이 이 정도 돈을 챙기려면 1년은 족히 걸렸다.

그래서 이런 유형의 디지털 갈취가 사이버 범죄자들의 주목을 끌게 된 것은 더 이상 새삼스럽지도 않다. SANS 인스티튜트(SANS Institute)의 수석 연구 책임자 조하네스 울리치는 봇넷을 위한 개인 컴퓨터 침투나 DDoS(Distributed Denial of Service) 공격은 바이트당 달러로 환산되는 가치가 있다"며, "랜섬웨어를 통해 공격자는 손쉽게 100달러 이상을 챙길 수 있다"고 설명했다.

크립토락커가 이전까지의 랜섬웨어 공격과 다른 점은 강력한 암호화에 있다. 트로이목마에 감염된 컴퓨터상의 문서와 이미지 파일들은 AES 256비트 암호를 통해 묶여버려 이들 파일을 다시 사용하는 유일한 방법은 그 데이터의 암호를 해독할 수 있는 디지털 키를 구입해 되찾아오는 방법뿐이다.

랜섬웨어의 진화
그럼에도 불구하고, 이 악성 앱은 2000년대 있었던 불량 안티 바이러스 판매 기법에서부터 시작된 진화 과정의 결과물이다.

안티 바이러스 프로그램은 지속적인 팝업창을 올리며 사용자에게 컴퓨터의 감염을 알렸다. 그리고 감염을 청소하기 위해서는 사용자가 그 팝업 가해자의 안티 바이러스 소프트웨어의 구매가 필요했다.

온라인 범죄에 집중하는 소비자 안전 단체인 디지털 시민 연대(Digital Citizens Alliance)의 간사 가스 브루엔은 "물론 이 소프트웨어를 팔던 사람들은 해당 컴퓨터에 바이러스를 감염시킨 당사자들이었다"며, "이후 이런 프로그램은 스케어웨어(scareware)로 불려지게 되었다"고 설명했다.

대부분의 경우 사용자들은 그냥 돈을 내고 그 팝업들을 없애버리곤 한다. 하지만 가끔씩은 그 '안티 바이러스' 소프트웨어가 더 악질적이기도 하다. 브루엔은 "이 소프트웨어는 자신의 컴퓨터를 감염시키고 해당 컴퓨터를 스팸과 감염을 전파시키는 통로로 사용할 수도 있다"고 말했다.

시간이 지남에 따라, 보안 교육과 제대로 된 안티 바이러스 소프트웨어의 배포, 법적 제재 등이 복합적으로 작용하면서 스케어웨어의 인기는 점차 줄어들게 되었고, 그 대신 랜섬웨어가 부상했다.

브루엔은 "소비자에게 컴퓨터가 감염되었다고 거짓말을 하는 과거의 방식 대신, 랜섬웨어 공격자는 소비자에게 '우리가 당신의 PC를 암호로 잠궜고, 당신이 X달러 이상을 우리에게 송금하지 않는 이상 잠금을 풀어주지 않겠다'는 식의 협박을 한다"고 말했다.

비록 몸값 요구부터 시작했지만, 공포심 유발 전략도 병행했다. 예를 들어, 어떤 종류의 악성코드는 DVD 영화 시작부분에 공공기관에서 불법 복제시 벌금을 경고하며 나오는 것과 비슷한 공식 경고문을 컴퓨터 잠금화면에 띄운다.

델 시큐어웍스 보안 연구원 키스 자비스는 "사용자들은 음란물을 다운로드했거나 음원 파일을 불법 다운로드했으므로 법적으로 기소되는 것을 피하려면 일정 날짜 이전까지 일정 금액을 내야 한다는 내용의 경고문을 받는다면 상당히 겁을 먹게 마련"이라고 말했다.

또한 "어떤 사람들은 아동 음란물이나 기타 더러운 이미지들을 사용자의 컴퓨터에 띄우는 것처럼 아주 단순한 경고에도 돈을 보낼 것"이라고 설명했다.

악성코드는 제거될 수 있지만 파일은 여전히 잠겨있다
레베톤(Reveton)같은 랜섬웨어는 소비자들을 공포로 몰아넣었지만, 이를 막아낼 방법도 있다.

악성코드바이트(Malwarebytes)의 악성코드 분석가 아담 쿠자와는 "아주 많은 손쉬운 조치들을 취할 수 있다. 안전모드나 CD로 컴퓨터를 부팅하면 이런 랜섬웨어를 바로 없앨 수 있다"고 말했다.


그러나 크립토락커같은 악성코드는 삭제한다고 문제가 해결되지 않는다. 쿠자와는 "감염을 없앤다고 하더라도 파일들은 여전히 잠겨있기 때문이다. 더 이상 문제는 실제 감염 제거에만 그치는 것이 아니라 그 파일들을 다시 찾아오는 것이 관건"이라고 말했다.

랜섬웨어 제조자들은 크립토락커 이전에도 암호화를 실험했었다. 2007년 GP코드(GPCode) 혹은 시노월(Sinowal)이라는 일련의 악성 앱들이 감염된 컴퓨터상의 파일들을 암호화시켰지만, 이 암호화는 아주 약했고 전문가들이 쉽게 해결할 수 있는 수준이었다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.