랜섬웨어 피해 복구, 대부분 돈으로 해결한다
프로퍼블리카 보고서 “빠른 데이터 복구에는 보석금 지급이 최선일 때 많아”
이 기사를 공유합니다
John Biggs
John Biggs 2019년 5월21일 14:00
Study Finds Most Ransomware Solutions Just Pay Out Crypto
출처=코인데스크


대다수 사이버 보안업체는 랜섬웨어 공격을 받은 피해자의 데이터를 복구하기 위해 해커가 요구하는 보석금을 지불하고 있다고 비영리 인터넷매체 프로퍼블리카(ProPublica)가 보도했다.

최근 랜섬웨어 보안업체 코브웨어(Coveware)가 발간한 보고서에 따르면, 암호화폐를 탈취하기 위한 랜섬웨어 공격은 매주 꾸준히 증가하고 있다. 업체들은 해커가 요구하는 보석금을 지불하고 사태를 마무리 짓는 것이 제일 현실적인 해법이라고 생각하고 있다.
“2018년 4분기에는 랜섬웨어로 인한 평균 피해 금액이 6733달러였다. 하지만 2019년 1분기의 피해 금액은 89% 급등한 평균 1만2762달러를 기록했다. 특히 류크(Ryuk), 비트페이머(Bitpaymer), 렌크립트(Lencrypt) 등 고액을 요구하는 랜섬웨어의 활동이 왕성해지면서 피해 금액이 늘어났다. 고액의 암호화폐를 요구하는 랜섬웨어는 주로 대기업을 표적 삼아 그들에게 특화된 공격을 수행한다.” - 코브웨어 2019년 1분기 랜섬웨어 분석 보고서

일단 랜섬웨어 공격을 받아 컴퓨터에 있는 파일에 접근할 수 없게 되면, 잠금을 해제하고 파일 콘텐츠를 복구하는 것이 가장 중요하다. 이에 대부분의 데이터 복구업체들은 해커가 요구하는 금액을 지불하고 랜섬웨어를 제거한 후, 자신들의 서비스 이용료를 얹어 고객에게 청구하고 있다고 프로퍼블리카는 설명했다.
“데이터 보안업체 프루븐데이터(Proven Data)는 ‘최신 기술’을 이용해 랜섬웨어를 제거하고 데이터를 복구해준다고 홍보해 왔다. 공식 이메일을 통해서도 그랬고, 예전 고객들도 그렇게 알고 데이터 복구를 맡겼다고 한다. 하지만 프로퍼블리카가 스토퍼(Storfer)와 FBI 진술서를 통해 확인한 내용에 따르면, 프루븐데이터는 실제로 해커가 요구하는 돈을 지불하고 그 대가로 랜섬웨어의 암호를 푸는 도구를 건네받았다. 미국 플로리다의 몬스터클라우드(MonsterCloud) 또한 자체 복구 기술을 이용한다고 주장하지만, 실제로는 해커의 요구를 들어주고 데이터를 복구하는 것으로 확인됐다. 그러면서 고객에게는 보석금을 주고 데이터를 복구했다는 사실을 제대로 고지하지 않기도 한다. 현지 사법 기관 등이 랜섬웨어 피해를 복구해달라고 의뢰한 일부 사례에서도 마찬가지였다. 프루븐데이터와 몬스터클라우드는 다른 면에서도 공통점이 있다. 우선 해커에게 지급한 보석금에 더해 청구하는 서비스 이용료가 상당히 높다. 아울러 해커 공격으로 드러난 취약점을 봉합해 또 다른 공격을 예방하는 서비스도 함께 제공한다. 마지막으로 두 업체의 직원들은 고객을 응대할 때 가명을 쓴다.”

 

멈추지 않는 공격


랜섬웨어로 인한 피해는 갈수록 늘어나고 있다.

미국 법무부가 샘샘(SamSam)이라는 랜섬웨어를 유포한 이란인 해커 2명을 추적해 기소한 뒤 한때 랜섬웨어 공격이 줄어들 것이라는 기대가 나오기도 했다. 하지만 오히려 랜섬웨어 공격은 더욱 기승을 부리면서 올해 피해 규모는 지난해 피해 규모를 훌쩍 뛰어넘을 기세다.

랜섬웨어 피해 규모가 이처럼 늘어나는 이유는 그만큼 수익성이 좋기 때문이다. 피해자가 랜섬웨어를 발견하면 몬스터클라우드와 같은 보안 업체가 해커들과 잠시 협상한 후 랜섬웨어의 암호를 풀어내고 데이터를 복구한다.

그러나 이들 업체 가운데 다수는 이미 복구 솔루션을 판매하고 있고, 많은 보안 연구자들은 무료 솔루션을 기반으로 작업한다. 유명한 워너크라이(WannaCry) 랜섬웨어 대응도 마찬가지다. 문제는 안타깝게도 랜섬웨어 공격이 갈수록 정교해지고 있고, 그만큼 더 복잡한 소프트웨어 기술이 필요해진다는 것이다.

코브웨어도 랜섬웨어 해커들과 협상해 그들이 원하는 대로 해주고 있다는 사실을 인정했다. 데이터를 복구하기 위한 최선의 방법이기 때문이다. 우려되는 것은, 이렇게 흘려보낸 돈이 의도치 않게 테러범의 손으로 들어갈 수 있다는 문제다. 게다가 코브웨어는 랜섬웨어가 지속적으로 발전하면서 암호를 풀어내는 작업이 더뎌지고 있다고 밝혔다. 코브웨어에 따르면 평균 복구 시간은 지난해 4분기 6.2일에서 올해 1분기 7.3일로 늘어났다.

 

공격 패턴 파악하기


미국 정부는 랜섬웨어를 유포한 해커를 ‘테러리스트’로 간주하고 이들과의 협상을 꺼린다. 그러나 코브웨어 CEO 빌 시겔의 생각은 다르다. 코브웨어는 올해만 수백 건의 랜섬웨어 사고를 처리했다. 해커마다 공격 방식도, 원하는 것도 모두 달랐다. 시겔은 그 과정에서 많은 해커들이 사회에 대한 불만을 표출하기 위해 공격을 감행한다는 사실을 깨달았다고 말한다.
“이 분야에 대한 우리의 조사와 경험에 비춰봤을 때 대부분 해커는 기술에 대한 전문 지식을 갖춘 평범한 사람들이다. 다만 이들은 현재 우리가 사는 제도적 환경에서는 각자의 역량을 충분히 발휘하기 어렵기 때문에 자신의 경제적 미래를 비관한다. 이들 대부분은 서구 사법 당국의 손길이 미치지 못하는 지역에 거주하고 있어 서구 사회의 돈을 훔쳐 온다는 사실에 크게 신경 쓰지 않는다.”

시겔은 코브웨어가 해커들과 협상하는 절차에 관해서도 구체적으로 설명했다.
“일단 그들의 소통 방식을 분석해 데이터베이스를 만든다. 특정 시기에 활동하는 해커들의 숫자는 놀랄 만큼 제한돼 있기 때문에, 이들의 정체를 밝혀내는 것은 그리 어렵지 않다. 이후 그동안 우리가 수많은 경험을 통해 거듭 수정해 온 대본과 작전을 기반으로 해당 사건에 대한 협상 전략을 수립한다. 우리는 이 해커들을 알고 있다. 그리고 그들의 일관된 공격 패턴도 파악하고 있다. 피해 고객의 데이터를 복구하는 문제 외에는 별도로 이들 해커와 소통하지 않는다. 아울러 각 사례에서 수집한 정보는 분기마다 사법당국에 제출한다.”

몬스터클라우드의 조하르 피나시는 랜섬웨어 피해를 본 고객의 데이터를 복구하기 위해 자체 솔루션을 이용하기도 하지만, 해커들에게 보석금을 지불하는 경우도 있다고 인정했다.
“각 사건에 대한 대응 방식은 공격 규모와 성격에 따라 다르다. 우리는 수년간 쌓은 기술 경험과 전문성을 기반으로 데이터를 복구, 보호하고 있다. 다만 우리가 사용하는 솔루션에 대한 자세한 내용은 원칙적으로 공개하지 않는다. 물론, 우리를 찾아오는 고객은 우리가 사용할 솔루션에 관해 명확하게 고지받는다. 공개적으로 말할 수 있는 사실이 한 가지 있다면 우리는 데이터 복구 업체가 아니라 사이버 보안 업체라는 점이다. 우리는 사이버 공격에 대한 광범위한 지식과 경험을 보유하고 있다. 아울러 갈수록 정교하게 발전하고 있는 사이버 공격 수단보다 항상 앞서서 예방책과 대책을 수립하는 데 수많은 시간을 투자한다. 그래야만 지금 당장 벌어지는 침해 사고를 해결할 수 있을 뿐만 아니라, 미래의 공격까지도 효과적으로 예방할 수 있는 것이다. 우리가 데이터를 복구하지 못하면 고객은 우리에게 낸 돈을 모두 돌려받는다. 여태껏 우리가 도움을 준 고객 중 같은 해커나 다른 해커의 공격을 다시 받은 고객은 없었다.” - 조하르 피나시, 몬스터 클라우드

정체를 알 수 없는 암호화폐 주소로 비트코인 수천 개를 보내는 것이 피해자가 원하는 최선의 해법은 아닐 수 있다. 그러나 복구 시간을 최대한 단축하는 관점에서 보면 이렇게 하는 것이 가장 빠른 길이라는 점은 분명해 보인다.

사실 애초에 피해 업체가 랜섬웨어에 공격을 받지 않았다면 가장 좋았을 것이다. 보안 업체들이 입을 모아 강조하는 것처럼 치료보다 예방이 중요하다.

번역: 뉴스페퍼민트
· This story originally appeared on CoinDesk, the global leader in blockchain news and publisher of the Bitcoin Price Index. view BPI.
· Translated by NewsPeppermint.

제보, 보도자료는 contact@coindeskkorea.com



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.