보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 상품화 되는 랜섬웨어...돈내면 누구나 해커 [전자신문 Etnews 5월 14일자 전자신문 20190515일자 본지 11면]
아이디 | admin
날  짜 | 2019-05-14
조  회 | 1178

상품화 되는 랜섬웨어...돈내면 누구나 해커


# “어려운 환경 속에서도 우리 제품은 꾸준히 업데이트 하고 있습니다. 우리 매출 대부분을 새로운 기술과 다른 서비스와 통합에 투자하기에 가능한 일입니다.”

데이터 암호화로 금전을 요구하는 '랜섬웨어'가 단순 범죄도구에서 '서비스형 랜섬웨어(RaaS)'로 진화했다. 랜섬웨어 제작자, 유포자가 철저하기 분리된 분업형태를 취하면서 범죄수익 생태계를 구성했다. 

14일 안랩에 따르면 랜섬웨어 제작자가 단순 제작대행뿐 아니라 신규 랜섬웨어 업데이트, 의뢰한 랜섬웨어 전파·감염 현황 정보까지 제공하는 것으로 나타났다. 이들 정보에는 추적이 어려운 결제방법까지 포함됐다. 초저가, 수익분배를 내거는 등 광고까지 일상화 됐다. 급기야 범죄수익을 또 다른 범죄에 투자해 악성 랜섬웨어를 만든다는 광고까지 버젓이 내걸었다.

사탄 RaaS 특징은 랜섬웨어를 무료로 제공한다. 타 RaaS가 랜섬웨어를 구매하고 수익도 나누는 반면,사탄 RaaS는 무료로 랜섬웨어를 제공하고 수익을 7대 3으로 나눈다. 복호화 대가를 사용자가 마음대로 정하고 랜섬노트(감염 시 뜨는 안내문)도 사용자가 작성 가능하다.

<사탄 RaaS 특징은 랜섬웨어를 무료로 제공한다. 타 RaaS가 랜섬웨어를 구매하고 수익도 나누는 반면,사탄 RaaS는 무료로 랜섬웨어를 제공하고 수익을 7대 3으로 나눈다. 복호화 대가를 사용자가 마음대로 정하고 랜섬노트(감염 시 뜨는 안내문)도 사용자가 작성 가능하다.>

실제 올해 2월 보안기업 비트디펜더가 갠드크랩 랜섬웨어 1, 4, 5.1 버전에 대한 복호화 툴을 공개하자 하루만에 5.2버전을 배포, 국내 사용자를 대상으로 공격이 이어졌다. 제작자와 유포세력이 달라 시장상황 변화에 빠르게 대응한 것이다. 

범죄 기업 분업은 일반 SW기업과 유사하다. 개발, 판매, 관리까지 제공한다. 언제든 자신이 접속 가능한 페이지를 만들어 광고문구 등을 소셜미디어, 다크웹에서 안내한다. RaaS 제작자는 의뢰인이 랜섬웨어 공격으로 거둔 수익을 나눠갖는 '수익공유'까지 나선다.

RaaS 사이트는 주로 다크웹에 위치, 공유된다. 마음만 먹으면 누구나 접근가능하다. 지난해 오스트리아에서는 10대가 다크웹을 통해 랜섬웨어를 구매했고, 린츠에 위치한 한 기업 생산 데이터베이스(DB)등 서버를 감염시켰다. 해당 랜섬웨어는 알파베이 다크웹 마켓플레이스에서 최저가 389달러부터 판매됐다. 

한창규 안랩 시큐리티대응센터(ASEC) 실장은 “RaaS는 특별히 IT지식이 높지 않아도 누구든 랜섬웨어 유포를 할 수 있다는 점에서 위험하다”고 말했다.

전문가는 RaaS 랜섬웨어가 2016년 처음 등장했지만 3년간 빠른 변화를 거듭하며 이미 '랜섬웨어의 지속적 악순환 고리'를 만들었다고 지적한다. 국내서는 케르베르, 페트야, 필라델피아, 사탄, 크라켄 등 랜섬웨어가 RaaS 형태로 공유, 공격에 사용된 것이 발견됐다.

크라켄 랜섬웨어는 가입시 50달러를 내면 구매자는 매 15일마다 새로운 랜섬웨어를 제공받는다. 구매자는 수익 80%를 차지할 수 있고 지원 서비스도 받는다.

<크라켄 랜섬웨어는 가입시 50달러를 내면 구매자는 매 15일마다 새로운 랜섬웨어를 제공받는다. 구매자는 수익 80%를 차지할 수 있고 지원 서비스도 받는다.>

    다양한 RaaS가 시장에 등장해 차별화 경쟁까지 시작됐다. 스탬패도 랜섬웨어는 가격을 30달러로 낮춘 파격할인을 선보였고, 사탄 랜섬웨어는 악성코드를 무료로 제공하고 피해 감염 현황에 따라 수익을 배분한다. 이외에도 패키지, QR코드 온라인 지원까지 사용자 편의성 까지 고려했다. 

    이호웅 안랩 최고기술책임자(CTO)는 “지금까지 발견된 RaaS는 소수로 다크웹에는 더 많은 RaaS가 거래되고 있을 것으로 추정한다”면서 “IT지식이 높지 않은 사람이라도 누구든 랜섬웨어 공격자가 될 수 있어 기업이나 개인 사용자 가릴 것없이 기본 보안수칙과 백업을 생활화 해야한다”고 설명했다. 

    정영일기자 jung01@etnews.com 

    목록보기
    번호 제목 작성자 등록일 조회
    '정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 4455
    639 21년 만에 공인인증서 폐지, 전자서명시장 초관심 [전자신문 Et.. 관리자 2020-05-22 40
    638 이스트시큐리티 "中 해킹조직, 국내 기업 겨냥한 APT 공격 확대".. 관리자 2020-05-21 56
    637 인테리어 플랫폼 '집꾸미기' 해킹…다크웹서 고객정보.. 관리자 2020-05-21 57
    636 안랩, 공정위 사칭한 이메일 공격 발견…"정보 유출용 악성코드".. 관리자 2020-05-19 66
    635 KISA, 랜섬웨어 경고 발령…오프라인 백업·점검 강조 [전자신문.. 관리자 2020-05-19 57
    634 KISA, 긴급재난지원금 조회 사칭한 피싱 주의보 [전자신문 Etnew.. 관리자 2020-05-13 98
    633 "포스트 코로나 시대, 사이버 공격 거세질 것" [전자신문 Etnews.. 관리자 2020-05-13 88
    632 北 해킹조직 '금성121', 통일 정책 연구원 사칭해 APT.. 관리자 2020-05-12 91
    631 '약한 고리' 중소기업 보안, 코로나19 사이버침해 대.. 관리자 2020-05-12 92
    630 SK인포섹, 메일 서버 취약점 악용한 사이버공격 '주의보�.. 관리자 2020-04-22 179
    629 구글 '미트', 코로나19 속 이용량 25배 폭증…"고급 .. 관리자 2020-04-22 165
    628 FBI "정부 지원 해킹조직, 코로나19 백신 연구소 겨냥해 해킹 시.. 관리자 2020-04-20 154
    627 안랩, 음란물 이용 폭로 빌미로 금전 요구하는 사이버공격 포착 .. 관리자 2020-04-20 165
    626 코로나 피싱URL, 한달 만에 3만4000개…SK인포섹, 침해지표 공개.. 관리자 2020-04-14 197
    625 팔로알토네트웍스 “코로나19 악용한 사이버위협 기승” [전자신.. 관리자 2020-04-14 201
    12345
    (사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
    주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265