체크포인트 소프트웨어 테크놀로지스는 세계 최대 규모의 랜섬웨어 조직 ‘서버(Cerber)’의 사이버 활동에 관한 조사 결과를 최근 공개했다.

이번 보고서는 체크포인트의 위협 지능 및 연구팀(Threat Intelligence and Research Team)이 인트사이트 사이버 인텔리전스(IntSights Cyber Intelligence)와 공동으로 조사한 것으로, 서버의 기술 및 비즈니스 운영에 대한 세부정보를 60페이지 분량으로 실었다.

체크포인트는 “이번 보고서는 확장일로에 있는 서비스 형태의 랜섬웨어(ransomware-as-a-service) 산업을 파헤쳤을 뿐 아니라, 사이버 범죄조직이 요구하는 거액의 랜섬을 지불하지 않고도 체크포인트 연구원들이 피해자 및 피해기업을 도와 암호화된 파일에 도달하는 접근경로까지 공개했다는 점에서 그 의의가 크다”고 밝혔다.

이 보고서에 따르면 전체 랜섬웨어 중 서버의 감염률은 상당히 높은 편이고, 수익률도 높다. ‘서버’는 현재 전세계적으로 160건 이상의 캠페인을 활발히 진행하고 있으며 연 수입은 대략 230만 달러에 이르는 것으로 추정된다.

일평균 8건 정도의 새로운 활동을 개시하는데 7월에만 201개국에서 약 15만명의 피해자가 발생한 것으로 알려졌다.

서버 관련조직들은 돈세탁을 성공적으로 해내고 있다. 서버는 흔적을 없애기 위해 비트코인을 사용하고 있으며 피해자로부터 돈을 수신하는 데 특화된 독특한 월렛(wallet)을 사용한다.

피해자는 랜섬을 지불하면(보통 1비트코인 - 현재 약 590달러 가치) 바로 암호해지 코드를 제공받는다.

비트코인은 여러 서비스를 거쳐 멀웨어 개발자한테 전달된다.

이 과정에 사용되는 여러 서비스에는 수만 개의 비트코인 월렛이 연루되어 있어 하나하나를 추적하는 것은 거의 불가능하다.

프로세스를 다 거치면 돈이 개발자의 수중에 들어가며 관련조직은 일정비율의 수수료를 수신한다.

서버는 더 많은 잠재 해커들의 관문이다. 서버는 기술지식이 없는 개인과 집단들이 고수익 사업에 참여하게 할 뿐 아니라, 독립적인 캠페인을 운영할 수 있게 해준다.

이 과정에서 배정된 일련의 명령과 통제(Commend & Control) 서버와 12개의 언어가 가능한 편리한 제어패널을 사용한다.

체크포인트와 인트사이트는 2016년 6월 이후 서버가 개발한 복잡한 시스템 맵과 글로벌 유통 인프라스트럭처를 파악해왔다.

연구원들이 실제 피해자 월렛을 생성할 수 있었기 때문에 프로젝트팀은 지불과 거래상황을 모니터링하고, 이를 통해 멀웨어와 돈의 흐름으로 확보된 수입을 추적할 수 있게 됐다.

이렇게 파악한 정보는 암호해독 툴의 청사진을 제공했으며, 이에 따라 피해자 또는 피해기업들은 사이버 범죄자의 랜섬요구에 굴복하지 않고도 감염된 시스템을 치료할 수 있었다.

<박시현 기자> pcsw@bikorea.net