체크포인트, 최대 랜섬웨어 조직 자금 경로 추적 성공

[아시아경제 박소연 기자]이스라엘 보안기업 체크포인트가 세계 최대 규모로 운영되고 있는 서비스 프랜차이즈 형태의 랜섬웨어 조직 '서버(Cerber)'의 자금 경로 추적에 성공했다.24일 체크포인트는 보고서를 통해 복잡한 사이버 활동을 진행하는 서버(cerber)의 가려진 모습들을 공개했다. 체크포인트의 위협 지능 및 연구팀은 리서치 파트너 인트사이트사이버 인텔리전스와 함께 파악한 서버(cerber)의 기술 및 비즈니스 운영에 대한 새로운 세부정보와 분석내용을 60페이지 분량의 보고서에 담았다. 전체 랜섬웨어중 서버(cerber)의 감염율은 상당히 높은 편이고, 수익율도 높다. ‘서버’는 현재 전세계적으로 160건 이상의 캠페인을 활발히 진행하고 있으며 연수입은 대략 230만 달러에 이르는 것으로 추정된다. 일평균 8건 정도의 새로운 활동을개시한다. 7월에만 201개국에서 약 15만명의 피해자가 발생한 것으로 알려졌다. 서버 관련 조직들은 돈세탁을 성공적으로 해내고 있다. 서버는 흔적을 없애기 위해 비트코인을 사용하고 있으며 피해자로부터 돈을 수신하는 데 특화된 독특한 월렛(wallet)을 사용한다. 피해자는 랜섬을 지불하면(보통 1비트코인- 현재 약 590달러 가치) 바로 암호해지 코드를 제공받는다. 비트코인은 여러 서비스를 거쳐 멀웨어 개발자한테 전달된다. 이 과정에 사용되는 여러 서비스에는 수만 개의 비트코인 월렛이 연루돼 있어 하나하나를 추적하는 것은 거의 불가능하다. 프로세스를 다 거치면 돈이 개발자의 수중에 들어가며 관련조직은 일정비율의 수수료를 수신한다. 서버는 더 많은 잠재해커들의 관문이다. 서버는 기술지식이 없는 개인과 집단들이 고수익 사업에 참여하게 할 뿐 아니라, 독립적인 캠페인을 운영할 수 있게 해준다. 이 과정에서 배정된 일련의 명령과 통제 서버와 12개의 언어가 가능한 편리한 제어패널을 사용한다. 2016년 6월 이후 체크포인트와 인트사이트는 서버가 개발한 복잡한 시스템맵과 글로벌 유통 인프라스트럭처를 파악해 왔다. 연구원들이 실제 피해자 월렛을 생성할 수 있었기 때문에 프로젝트팀은 지불과 거래상황을 모니터할수 있었다.이에 따라 멀웨어와 돈의 흐름으로 확보된 수입을 추적할 수 있게 됐다. 더욱이 이렇게 파악한 정보는 암호해독 툴의 청사진을 제공했고 이를 통해 피해자 또는 피해기업들은 사이버 범죄자의 랜섬요구에 굴복하지 않고도 감염된 시스템을 치료할 수 있었다. 체크포인트 연구 및 개발부문의 마야 호로비츠(Maya Horowitz)그룹 매니저는, “이번 조사로 커져가는 랜섬웨어서비스 산업의 특성과 전세계 공격 대상에 대해 파악할 흔치 않은 기회를 가졌다”라고 말했다. 그는 “사이버 공격은 이제 국가 단위의 활동가나 본인의 툴을 자체적으로 만들수 있는 기술역량을 가진 자들만의 전유물이 아니라, 누구나 접근가능하며 상당히 쉽게 운영할 수 있어 매우 빠른 속도로 확장되고 있다”라며 “우리는 이러한 상황에 적절한 주의를 기울이면서 관련 보호기제를 구현해야 할 것”이라고 말했다. 박소연 기자 muse@asiae.co.kr<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

산업2부 박소연 기자 muse@asiae.co.krⓒ 경제를 보는 눈, 세계를 보는 창 아시아경제
무단전재, 복사, 배포 등을 금지합니다.

오늘의 주요 뉴스

헤드라인

많이 본 뉴스