사상 최악의 악성코드, 렌섬웨어의 진화와 양산화에 직면

악성코드의 성공은 악성코드 개발을 부추기는 원동력이다. 바로 이런 일이 다음달 랜섬웨어에 일어날 것으로 보인다.
랜섬웨어의 역사는 10년이 넘었지만 지난해 가을 크립토락커(CryptoLocker)가 등장하고 나서야 이 나쁜 앱의 사악한 잠재성이 현실화됐다.

델 시큐어웍스(Dell SecureWorks)는 이 악성 소프트웨어가 2013년 마지막 4개월 동안에만 500만 달러 규모의 돈을 가로챘다고 밝혔다. 이전까지 다른 랜섬웨어 제조업자들이 이 정도 돈을 챙기려면 1년은 족히 걸렸다.

그래서 이런 유형의 디지털 갈취가 사이버 범죄자들의 주목을 끌게 된 것은 더 이상 새삼스럽지도 않다. SANS 인스티튜트(SANS Institute)의 수석 연구 책임자 조하네스 울리치는 봇넷을 위한 개인 컴퓨터 침투나 DDoS(Distributed Denial of Service) 공격은 바이트당 달러로 환산되는 가치가 있다"며, "랜섬웨어를 통해 공격자는 손쉽게 100달러 이상을 챙길 수 있다"고 설명했다.

크립토락커가 이전까지의 랜섬웨어 공격과 다른 점은 강력한 암호화에 있다. 트로이목마에 감염된 컴퓨터상의 문서와 이미지 파일들은 AES 256비트 암호를 통해 묶여버려 이들 파일을 다시 사용하는 유일한 방법은 그 데이터의 암호를 해독할 수 있는 디지털 키를 구입해 되찾아오는 방법뿐이다.

랜섬웨어의 진화
그럼에도 불구하고, 이 악성 앱은 2000년대 있었던 불량 안티 바이러스 판매 기법에서부터 시작된 진화 과정의 결과물이다.

안티 바이러스 프로그램은 지속적인 팝업창을 올리며 사용자에게 컴퓨터의 감염을 알렸다. 그리고 감염을 청소하기 위해서는 사용자가 그 팝업 가해자의 안티 바이러스 소프트웨어의 구매가 필요했다.

온라인 범죄에 집중하는 소비자 안전 단체인 디지털 시민 연대(Digital Citizens Alliance)의 간사 가스 브루엔은 "물론 이 소프트웨어를 팔던 사람들은 해당 컴퓨터에 바이러스를 감염시킨 당사자들이었다"며, "이후 이런 프로그램은 스케어웨어(scareware)로 불려지게 되었다"고 설명했다.

대부분의 경우 사용자들은 그냥 돈을 내고 그 팝업들을 없애버리곤 한다. 하지만 가끔씩은 그 '안티 바이러스' 소프트웨어가 더 악질적이기도 하다. 브루엔은 "이 소프트웨어는 자신의 컴퓨터를 감염시키고 해당 컴퓨터를 스팸과 감염을 전파시키는 통로로 사용할 수도 있다"고 말했다.

시간이 지남에 따라, 보안 교육과 제대로 된 안티 바이러스 소프트웨어의 배포, 법적 제재 등이 복합적으로 작용하면서 스케어웨어의 인기는 점차 줄어들게 되었고, 그 대신 랜섬웨어가 부상했다.

브루엔은 "소비자에게 컴퓨터가 감염되었다고 거짓말을 하는 과거의 방식 대신, 랜섬웨어 공격자는 소비자에게 '우리가 당신의 PC를 암호로 잠궜고, 당신이 X달러 이상을 우리에게 송금하지 않는 이상 잠금을 풀어주지 않겠다'는 식의 협박을 한다"고 말했다.

비록 몸값 요구부터 시작했지만, 공포심 유발 전략도 병행했다. 예를 들어, 어떤 종류의 악성코드는 DVD 영화 시작부분에 공공기관에서 불법 복제시 벌금을 경고하며 나오는 것과 비슷한 공식 경고문을 컴퓨터 잠금화면에 띄운다.

델 시큐어웍스 보안 연구원 키스 자비스는 "사용자들은 음란물을 다운로드했거나 음원 파일을 불법 다운로드했으므로 법적으로 기소되는 것을 피하려면 일정 날짜 이전까지 일정 금액을 내야 한다는 내용의 경고문을 받는다면 상당히 겁을 먹게 마련"이라고 말했다.

또한 "어떤 사람들은 아동 음란물이나 기타 더러운 이미지들을 사용자의 컴퓨터에 띄우는 것처럼 아주 단순한 경고에도 돈을 보낼 것"이라고 설명했다.

악성코드는 제거될 수 있지만 파일은 여전히 잠겨있다
레베톤(Reveton)같은 랜섬웨어는 소비자들을 공포로 몰아넣었지만, 이를 막아낼 방법도 있다.

악성코드바이트(Malwarebytes)의 악성코드 분석가 아담 쿠자와는 "아주 많은 손쉬운 조치들을 취할 수 있다. 안전모드나 CD로 컴퓨터를 부팅하면 이런 랜섬웨어를 바로 없앨 수 있다"고 말했다.

그러나 크립토락커같은 악성코드는 삭제한다고 문제가 해결되지 않는다. 쿠자와는 "감염을 없앤다고 하더라도 파일들은 여전히 잠겨있기 때문이다. 더 이상 문제는 실제 감염 제거에만 그치는 것이 아니라 그 파일들을 다시 찾아오는 것이 관건"이라고 말했다.

랜섬웨어 제조자들은 크립토락커 이전에도 암호화를 실험했었다. 2007년 GP코드(GPCode) 혹은 시노월(Sinowal)이라는 일련의 악성 앱들이 감염된 컴퓨터상의 파일들을 암호화시켰지만, 이 암호화는 아주 약했고 전문가들이 쉽게 해결할 수 있는 수준이었다

또한 암호화는 2013년 초에 나타난 레베톤의 레퍼토리 일부분이었지만, 악성코드 제조자가 그 파일들의 암호 해제를 위한 어떠한 방법도 제공하지 않아서 컴퓨터상에 감염을 없앤 뒤 몸값을 지불해야 할 이유도 없었다.

이런 유형의 실수들을 크립토락커는 반복하지 않았다. 게다가 랜섬웨어 제조자들은 몸값 송금 성공률을 높이는 딱 알맞은 균형을 잡는데 성공했다. 이셋(Eset) 보안 연구원 리사 마이어스는 "크립토락커는 책정 몸값, 악성코드 보호와 확산의 균형을 잘 잡았다"며, "만약 너무 많이 퍼트리면 그 악성코드는 찾아내기 너무 쉬워 차단될 수 있다"고 설명했다.

범죄자들의 약속 준수
크립토락커 측은 소비자와의 좋은 관계를 유지에서 오는 가치도 파악하고 있다. 시큐어웍스의 자비스는 "크립토락커는 몸값을 지불한 고객들을 우대한다"고 말했다.
 

자비스는 "대부분의 경우 크립토락커에서는 성공적으로 몸값을 받는 것이 확인되기만 하면 암호 해독 키를 해당 피해자에게 보내준다. 이런 송금 비율이 얼마나 되는 지는 알지 못하지만, 사람들에게 거짓말을 하지 않는 것이 그들의 사업 모델 일부분"이라고 설명했다.

게다가 지난 11월 크립토락커는 어떤 이유에서든 몸값 지불 시한을 넘긴 피해자들을 위한 지원도 시작했다. 암호화된 파일 일부를 블랙 웹사이트로 보내고 이에 대한 돈을 지불하면, 이 파일에 대한 암호 해독 키를 받을 수 있다. 자비스는 "악성코드로 자신 스스로를 재감염시켜야 하지만, 어찌되었든 그 파일에 대해서는 성공적으로 잠금을 풀 수 있다"고 말했다.

또한 크립토락커의 범죄자들은 데이터 보호를 강화하기 위한 개선점에서도 혜택을 받아왔다. 암호화는 많은 조직에게 어려운 문제였지만, 사이버 공격이 증가함에 따라 보안 산업도 이를 변화시키기 위해 성장했다. 악성코드바이트의 쿠자와는 "지난 몇 년 간 파일 암호화 활용이 훨씬 쉬워졌다"고 말했다.

과거에는 암호화에는 대부분의 악성코드 제작자가 다룰 수 있는 수준을 넘어서는 고도의 기술이 필요했다. 쿠자와는 "이제는 시스템 콜 몇 개만으로 암호화가 끝난다"며, "이로 인해 크립토락커 등장같은 현상들이 벌어지게 되었다"고 설명했다.

크립토락커의 성장에는 디지털 머니의 시대가 도래했다는 점도 기여했다. 네트워크 보안 업체 랜코프(Lancope)의 보안 연구 책임자 톰 크로스는 "크립토락커의 성장에는 비트코인(Bitcoin)도 한몫 했는데, 추적 위험 없이 디지털 머니를 빠르게 현금화할 수 있었던 점이 바로 그 이유"라고 말했다.

한발 앞서가는 크립토락커
지금까지 크립토락커는 자신들의 정체를 드러내지 않고 몸을 낮추고 있지만, 보안 전문가들은 이런 상황이 미래에 변화하게 될 것이라고 전망했다. 한 악성코드 제작자는 이미 파워라커(PowerLocker)라는 랜섬 앱으로 악명을 얻기 시작했다. 여전히 진행 중에 있지만 파워라커는 크립토락커보다 더욱 악질적으로 활동할 것이라고 공언하고 있다.

게다가 파워라커의 제작자는 거액을 지불하는 누군가가 나올 경우 파워라커의 코드 자체를 판매할 의사도 있다고 밝혔다. 만약 이런 사태가 반복된다면, 이는 랜섬웨어 대홍수로 이어질 수도 있다.

비트디펜더(Bitdefender)의 선임 위협 분석가 보그단 보테자투는 "악성 은행 트로이 바이러스인 제우스(Zeus)의 제작자는 제우스를 판매하면서 누구든 1만 달러만 내면 제우스를 구입할 수 있게 했으며, 이후 제우스 감염이 폭증했다"고 말했다. "제우스는 지금도 여전히 가장 많이 감염되는 바이러스 10순위 안에 든다"고.

디지털 키와 인증 보호 플랫폼 제조업체 베나피(Venafi)의 제품 마케팅 부회장 케빈 보첵은 "마치 제우스와 스파이아이(SpyEye)처럼, 파워라커는 소수의 범죄자만이 갖고 있던 랜섬웨어 툴을 수천 명의 사이버 범죄자에게 뿌리게 될 것"이라고 말했다.

이런 범죄자들은 소프트웨어 설계에서 자신의 실력을 입증했지만, 차세대 랜섬웨어는 이와는 국면이 다를 것이다. 랜코프의 크로스는 "이런 유형의 범죄를 저지르기 위해 악성코드 작동을 이행하거나 암호화에 대해 높은 이해도를 가질 필요가 없어질 것이며, 단지 이런 소프트웨어를 누군가로부터 사서 설치하고 실행하기만 하면 그걸로 충분하다"고 전했다.

"그래서 진입 장벽이 아주 낮아지게 되는데, 이로 인해 앞으로 몇 년 동안 수많은 랜섬웨어들이 판을 치게 될 것으로 예상한다."

파워라커의 악성 잠재성은 여전히 아직 증명되지는 않은 상태다. 시큐어웍스의 자비스는 "우리는 파워라커의 초창기 복제본을 입수했는데, 아주 기초적인 악성코드였다"며, "만약 파워라커가 지금 상태로 세상에 등장하게 된다면 크립토락커 수준을 맞추기 위해서는 상당한 작업이 더 필요할 것으로 보인다"고 분석했다.

파워라커가 차세대 랜섬웨어의 장을 열게 될 지의 여부와 상관없이 전문가들은 훨씬 많은 범죄자들의 차세대 랜섬웨어 악용은 피할 수 없는 일임을 동의했다. 크로스는 "파워라커가 아니더라도, 다른 누군가가 같은 일을 저지르기 위한 툴킷을 만들어낼 것이며, 성공적인 악성코드는 툴킷으로 귀결된다. 그게 바로 요즘 이 시장이 돌아가는 방식"이라고 말했다.

주식회사 랜섬웨어
크로스는 "암호화 랜섬웨어 툴킷의 등장은 시간 문제다. 범죄자들에게 돈이 보이는 일이니 어쩌면 툴킷이 몇개씩 나오게 될지도 모를 일"이라고 덧붙였다.

게다가 이런 범죄는 소비자의 영역을 넘어 기업에까지 확산될 것으로 보인다. 디지털 시민 연대의 브루엔은 "소비자들만 공격하는 것은 단위가 작다"며, "다음 단계는 기업에 대한 공격이 될 것이고, 이미 이런 일들이 일어나고 있는 중"이라고 말했다.

"공격자의 관점에서 기업은 일반 개인과 달리 문제 해결에 더 많은 돈을 지불할 것이기 때문에 공격자 스스로에게도 잡힐 위험이 높은 위험한 일이다. 하지만 타깃(Target)이나 니만 마르쿠스(Nieman marcus)같은 이런 기업들을 성공적으로 공격하면 훨씬 더 많은 돈을 뜯어낼 수 있다."

현재 랜섬웨어 공격은 하드드라이브 상의 선택적인 파일 유형만을 암호화시키지만, 기업을 대상으로 한 공격에서는 더욱 가치가 높은 공격 대상을 선택하게 될 것이다. 베나피의 보첵은 "암호화 키와 디지털 인증이 몸값 공격의 대상으로 보인다"고 말했다.

보첵은 "은행의 모든 커뮤니케이션의 안전을 위한 키와 인증, 온라인 상점의 클라우드 서비스 연결을 위한 SSH 키 등의 키와 인증은 아주 매력적인 공격 목표"라며, "범죄자들은 키와 인증에 공격을 증대시키고 있는데, 랜섬웨어 제조자들 역시 같은 길을 걸을 것으로 보인다