체크포인트가 세계 최대 규모로 운영중인 서비스 프랜차이즈 형태의 랜섬웨어 ‘서버(Cerber)’에 대한 조사결과를 밝혔다.
체크포인트는 보고서를 통해 복잡한 사이버 활동을 진행하는 서버(cerber)의 가려진 모습들을 공개했다. 이번 발표는 확장일로에 있는 서비스 형태의 랜섬웨어(ransomware-as-a-service) 산업을 파헤쳤을 뿐 아니라, 사이버 범죄조직이 요구하는 거액의 랜섬을 지불하지 않고도 체크포인트 연구원들이 피해자 및 피해기업을 도와 암호화된 파일에 도달하는 접근경로까지 공개했다는 점에서 그 의의가 크다.
체크포인트의 위협 지능 및 연구팀(Threat Intelligence and Research Team)는 리서치 파트너 인트사이트 사이버 인텔리전스(IntSights Cyber Intelligence)와 함께 파악한 서버(cerber)의 기술 및 비즈니스 운영에 대한 새로운 세부정보와 분석내용을 60페이지 분량의 보고서에 담았다.
이 보고서에 따르면 전체 랜섬웨어 중 서버(cerber)의 감염율은 상당히 높은 편이고, 수익율도 높다. 서버는 현재 전세계적으로 160건 이상의 캠페인을 활발히 진행하고 있으며 연수입은 대략 230만달러에 이르는 것으로 추정된다. 일평균 8건 정도의 새로운 활동을 개시하는데, 7월에만 201개국에서 약 15만명의 피해자가 발생한 것으로 알려졌다.
또 서버 관련조직들은 돈세탁을 성공적으로 해내는 것으로 조사됐다. 서버는 흔적을 없애기 위해 비트코인을 사용하고 있으며 피해자로부터 돈을 수신하는 데 특화된 독특한 월렛(wallet)을 사용한다. 피해자는 랜섬을 지불하면(보통 1비트코인 - 현재 약 590달러 가치) 바로 암호해지 코드를 제공받는다. 비트코인은 여러 서비스를 거쳐 멀웨어 개발자한테 전달된다.
이 과정에 사용되는 여러 서비스에는 수만 개의 비트코인 월렛이 연루되어 있어 하나하나를 추적하는 것은 거의 불가능하다. 프로세스를 다 거치면 돈이 개발자의 수중에 들어가며 관련조직은 일정비율의 수수료를 수신한다.
더불어 서버 더 많은 잠재 해커들의 관문이다. 기술지식이 없는 개인과 집단들이 고수익 사업에 참여하게 할 뿐 아니라 독립적인 캠페인을 운영할 수 있게 해준다. 이 과정에서 배정된 일련의 명령과 통제(Commend & Control) 서버와 12개의 언어가 가능한 편리한 제어패널을 사용한다.
2016년 6월 이후 체크포인트와 인트사이트는 서버(cerber)가 개발한 복잡한 시스템맵과 글로벌 유통 인프라스트럭처를 파악해왔다. 연구원들이 실제 피해자 월렛을 생성할 수 있었기 때문에 프로젝트팀은 지불과 거래상황을 모니터할 수 있었고, 이에 따라 멀웨어와 돈의 흐름으로 확보된 수입을 추적할 수 있게 됐다.
더욱이 이렇게 파악한 정보는 암호해독 툴의 청사진을 제공하였고, 이를 통해 피해자 또는 피해기업들은 사이버 범죄자의 랜섬요구에 굴복하지 않고도 감염된 시스템을 치료할 수 있었다.
마야 호로비츠(Maya Horowitz) 체크포인트 연구 및 개발 부문 그룹 매니저는 “이번 조사로 커져가는 랜섬웨어 서비스 산업의 특성과 전세계 공격 대상에 대해 파악할 흔치 않은 기회를 가졌다”고 전했다.
이어 “사이버 공격은 이제 국가 단위의 활동가나 본인의 툴을 자체적으로 만들 수 있는 기술역량을 가진 자들만의 전유물이 아니라, 누구나 접근가능하며 상당히 쉽게 운영할 수 있어 매우 빠른 속도로 확장되고 있다”며 “우리는 이러한 상황에 적절한 주의를 기울이면서 관련 보호기제를 구현해야 할 것”이라고 말했다.
