치열해지는 랜섬웨어 범죄 시장 “랜섬웨어 코드 훔치는 해커 등장”

실시간
뉴스

침해사고/위협동향

치열해지는 랜섬웨어 범죄 시장 “랜섬웨어 코드 훔치는 해커 등장”

디지털데일리 발행일 2017-03-16 09:50:59

최민지

URL복사

[디지털데일리 최민지기자] 카스퍼스키랩(www.kaspersky.co.kr, 이창훈 지사장)은 신종 랜섬웨어 ‘페트랩(PetrWrap)’을 발견했다고 16일 밝혔다.

페트랩은 랜섬웨어 서비스(RaaS) 플랫폼을 통해 유포되는 ‘페트야(Petya)’라는 랜섬웨어 모듈을 활용해 조직을 대상으로 표적형 공격을 수행한다. 페트랩 개발자들은 기존 페트야 랜섬웨어를 변경하는 특수 모듈을 만들어냈다. 페트야 개발자들은 페트야 무단 사용에도 속수무책으로 당할 수밖에 없는 상황. 지하 랜섬웨어 시장이 치열해지고 있다는 의미로 해석 가능하다.

페트야 랜섬웨어는 컴퓨터에 저장된 데이터를 암호화할 뿐 아니라, 하드디스크 드라이브의 마스터 부트 레코드(MBR)를 덮어쓰기 때문에 감염된 컴퓨터는 운영 체제를 부팅할 수조차 없는 상태로 만든다.

랜섬웨어 서비스 모델 중 주목할 사례로 꼽히는 이 악성코드는 랜섬웨어 개발자들이 주문형 랜섬웨어를 제공하면 여러 유통자들이 이를 유통하고 수익의 일부를 받는 구조로 돼 있다. 개발 영역에 대한 수익을 보호하기 위해 페트야 개발자들은 특정 보호 메커니즘을 입력해 랜섬웨어의 무단 사용을 막고 있다.

그러나 올해 초 처음으로 탐지된 페트랩 트로이목마 개발자들은 기존 페트야 보호 메커니즘을 뚫고 원 개발자에게 대가를 지불하지 않고도 페트야 랜섬웨어를 활용할 수 있는 방법을 찾아냈다.

페트랩은 컴퓨터에 침투한 후 페트야를 실행해 피해자의 데이터를 암호화하고 대가를 요구한다. 이 개발자들은 본래 페트야에 딸린 암호화키 대신 자체 제작한 개인 및 공개 암호화키를 사용한다. 피해자가 대가를 지불할 경우 페트야 개발자로부터 개인키를 받지 않아도 페트랩 측에서 컴퓨터를 복구할 수 있다.

최신 버전의 페트야에 감염되면 피해자 컴퓨터는 거의 완벽하게 암호화가 된다. 이러한 장점때문에 페트랩 관련 범죄자들이 페트야를 활용하는 것으로 보인다. 페트랩 피해자에게 표시되는 잠금 화면에는 페트야 언급이 없는 만큼, 보안 전문가들이 이러한 상황을 진단하고 감염원 랜섬웨어군을 빠르게 식별하는 데 어려움을 겪고 있다.

이창훈 카스퍼스키랩코리아 지사장은 “현재 해킹 조직들은 제 살 깎아먹기식 경쟁을 하고 있는데, 이는 랜섬웨어 범죄 조직 내의 경쟁이 치열해지고 있다는 증거”라며 “범죄 조직들이 서로 싸우고 속이는데 시간을 쓴다면 이들의 결속력이 약해질 것이고, 이들의 공격도 약화될 것”이라고 말했다.

이어 “걱정되는 점은 페트랩이 표적형 공격에 사용된다는 사실”이라며 “기업들이 이러한 종류의 위협으로부터 네트워크를 보호하기 위해 최대한 주의를 기울여야 하며, 그렇지 않을 경우 결과는 매우 참담할 수 있다”고 지적했다.

<최민지 기자>cmj@ddaily.co.kr