지난해 새로 발견된 암호화 랜섬웨어 상당수가 러시아어를 쓰는 사이버범죄자 손에서 만들어졌다는 분석이 나왔다.
지난 16일 보안솔루션업체 카스퍼스키랩은 2016년 발견된 새 암호화 랜섬웨어 62건 중 적어도 47건이 러시아어를 쓰는 사이버범죄자에 의해 개발됐다고 밝혔다. 이는 카스퍼스키랩의 러시아어 사용 랜섬웨어 지하조직 조사 보고서 내용 일부였다.
연구진들은 러시아어를 사용하는 지하조직을 집중 조사했다. 조사 결과 최근 몇년새 암호화 랜섬웨어 공격이 급증한 원인은 쉽게 이용할 수 있는 지하조직 생태계였다. 범죄자들이 별다른 기술이나 자본 없이 암호화 랜섬웨어 공격을 할 수 있었다.
카스퍼스키랩 측은 "연구진들이 암호화 랜섬웨어를 전문적으로 개발해 유포하는 러시아어 사용 범죄자들로 구성된 대규모 조직을 다수 발견했다"며 "이런 조직들은 수십명에 달하는 파트너를 연합할 수 있고 각 파트너는 고유 협력 프로그램을 보유하고 있다"고 밝혔다.
암호화 랜섬웨어는 피해자의 파일을 암호화한 후 이를 푸는 데 대가를 요구하는 악성 코드의 일종이다. 카스퍼스키랩 분석 결과 2016년 기업을 포함해 세계 144만5천명 이상의 사용자가 암호화 랜섬웨어 공격을 받았다.
카스퍼스키랩 측은 "범죄자들은 일반 인터넷 사용자뿐아니라 여러 중소기업과 대기업까지 공격 목표로 삼고 있다"며 "초기에는 러시아 및 독립국가연합(CIS) 사용자와 기업을 공격 대상으로 삼았는데 최근 목표를 확대해 세계 곳곳의 기업을 노리고 있다"고 덧붙였다.
카스퍼스키랩의 연구진들은 랜섬웨어 산업에 연루된 범죄자의 역할을 새로운 랜섬웨어의 개발 및 업데이트 담당, 랜섬웨어를 유포시킬 협력 프로그램의 개발 및 지원 담당, 파트너로서 협력 프로그램에 참여 담당, 3가지로 나눴다.
새 랜섬웨어의 개발 및 업데이트를 맡는 사이버 범죄자들은 전체 조직에서 가장 중요한 사람들이다.
다음으로 협력 프로그램 개발자 및 지원 담당자들은 익스플로잇킷, 악성스팸 등을 써서 랜섬웨어를 퍼뜨린다.
관련기사
- 무선공유기에 덫 치는 신종 트로이목마 등장2017.02.18
- "사이버위협, 웨어러블부터 클라우드까지"2017.02.18
- "2017년, '해커 자경단' 움직인다"2017.02.18
- "중소기업 5중 1곳, 랜섬웨어에 돈내고도 파일 못찾아"2017.02.18
마지막으로 협력 프로그램 참가자는 각종 방법을 동원해 랜섬웨어 유포를 돕고 그 대가로 협력 프로그램 소유자들이 받는 수익 일부를 받는다. 범죄 행위에 동참하겠다는 의지를 갖고 비트코인 몇 개만 지불하면 이런 파트너가 될 수 있다. 협력 프로그램 하나당 일일 수입은 수천~수십만달러에 달하고, 범죄자들은 60% 정도를 순수익으로 얻는다.
이창훈 카스퍼스키랩코리아 대표는 "왜 대다수 랜섬웨어가 러시아어를 사용하는 조직들로부터 배포되었는지는 단정적으로 말하기 어렵다"면서도 "랜섬웨어 조직들이 날이 갈수록 강력해지고 있는 만큼, 우리가 이들 조직에 대해 최대한 많이 파악하는 것이 일반 대중들과 보안 커뮤니티들을 위해 중요하다"고 말했다.
