랜섬웨어 해커, '카르텔'까지 등장했다

랜섬웨어를 유포하는 해커들의 금전 갈취 전략이 고도화되고 있다. 복호화 비용을 지불하지 않을 경우 탈취한 데이터를 공유하는 등 '카르텔'을 형성하는 모습까지 나타났다.

미국 IT 매체 블리핑컴퓨터는 랜섬웨어 '메이즈(Maze)' 운영자와 접촉해 이같은 정황을 파악했다고 지난 3일 보도했다.

메이즈는 국내에서도 지난해부터 활발히 유포됐던 랜섬웨어다. 감염 시 기기 데이터를 암호화되고, 바탕화면에 '메이즈 랜섬웨어'라는 제목의 랜섬노트가 생성되는 게 특징이다. 랜섬노트를 통해 해커는 복호화 지불 비용을 요구한다.

■"복호화 비용 안 내면 훔친 데이터 유포" 랜섬웨어 해커들 잇따라 사이트 개설

메이즈 운영자는 지난해 11월 복호화 비용 지불 협상을 거부한 피해 기업의 데이터를 러시아 해킹 포럼에 유출시켰다. 그 이후 비용을 지불하지 않는 피해자의 데이터를 공개하는 사이트인 '메이즈 뉴스'를 개설했다.

메이즈 뉴스가 개설된 이후 다른 랜섬웨어 운영자들도 복호화 비용을 지불하지 않는 피해자의 데이터를 공개하는 사이트를 잇따라 운영하기 시작했다.

탈취한 데이터를 공개하는 사이트를 개설한 랜섬웨어는 'AKO', '클롭', '도펠페이머, '넴티(Nemty)', '네필림(Nephilim)', '넷워커(Netwalker)', '피사(Pysa)', '라그나 락커(Ragnar Locker)', '레빌(소디노키비)', '세크멧(Sekhmet)', '스냇치(Snatch)', 크라이락(CryLock)', '스네이크(Snake)' 등이 있다. 이 중 넴티 사이트는 접속이 막혔다.

비용을 지불하지 않으면 데이터를 유출시키겠다는 해커들의 전략은 효과를 발휘한 것으로 나타났다.

미국 랜섬웨어 대응 전문 기업 코브웨어에 따르면 지난 1분기 대기업이 랜섬웨어 운영자에게 지불한 평균 금액은 11만1천605 달러(약 1억 3천500만원)로 조사됐다. 이는 전년 동기 대비 89% 증가한 수치다. 해당 수치가 급증한 이유로 코브웨어는 복호화 비용을 지불하지 않는 피해자의 데이터를 공개하는 해커들의 전략이 주효했다고 분석했다.

실제로 세계 최대 환전 사이트 트래블렉스는 소디노키비에 감염된 이후, 비용을 지불하지 않으면 데이터를 공개하겠다는 해커의 협박을 받고 230만 달러(약 27억 8천만원)의 복호화 비용을 내기도 했다.

■랜섬웨어 해커, 공동 운영 사이트 만드나

이스라엘 소재 사이버 위협 인텔리전스 기업 켈라에 따르면 최근 메이즈 뉴스 사이트에 글로벌 건축 기업의 데이터가 게재됐다.

그런데 이 데이터를 유출한 주체는 메이즈 운영자가 아닌, 지난해 9월부터 등장한 랜섬웨어 '락비트(RockBit)' 운영자다. 락비트는 서비스형 랜섬웨어(RaaS)로, 러시아 해커 포럼 등에서 홍보됐다.

블리핑컴퓨터는 이 데이터가 메이즈 뉴스에 게재된 이유를 메이즈 운영자에게 문의했으며, 이 운영자가 락비트 운영자와 협업하고 있다는 사실을 확인했다.

락비트 운영자와 같은 협업자를 추가로 모집하고 있다고도 답했다. 그는 수 일 내에 다른 랜섬웨어 운영자가 이같은 협업에 동참할 것이라며, "모두에게 유익한 결과를 가져오게 될 것"이라고 말했다.

메이즈 운영자는 "다른 해킹 조직을 우리의 경쟁자가 아닌, 파트너로 바라보고 있다"고 말했다. 메이즈 뉴스에 공유된 데이터로 수익이 발생했을 경우 배분 절차에 대해서는 답을 피했다.

관련기사

피해자를 압박하기 위해 데이터를 공개하겠다는 랜섬웨어 해커들의 공세가 강화되고 있다. 그러나 만약 이같은 랜섬웨어에 감염됐더라도 복호화 비용을 지불하지 않아야 한다는 게 보안 전문가의 의견이다.

문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 "복호화 비용을 받은 해커가 복호화 키를 제공해주는 경우도 있지만, 해커가 추가 비용을 요구하거나 비용을 받은 뒤 잠적할 가능성도 있다"며 "비용을 지불할 경우 사이버범죄 활성화를 불러올 수도 있기 때문에 무엇보다 사이버범죄 피해를 예방하는 데 아낌없이 투자하는 게 최선"이라고 조언했다.