“랜섬웨어 75%, 러시아어 사용하는 범죄조직에서 배포”
상태바
“랜섬웨어 75%, 러시아어 사용하는 범죄조직에서 배포”
  • 김선애 기자
  • 승인 2017.02.16 13:55
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩 “랜섬웨어 조직, 전 세계 사용자 공격 할 수 있는 범죄조직으로 성장”

지난해 발생한 랜섬웨어의 75%가 러시아어를 사용하는 범죄조직에서 배포됐으며, 소규모 랜섬웨어 조직들이 전 세계 사용자를 공격할 수 있는 거대 범죄조직으로 성장하고 있다는 사실이 공개됐다.

이는 카스퍼스키랩 보고서에 따른 것으로, 지난해 카스퍼스키랩이 발견한 62개의 새로운 암호화 랜섬웨어 중 적어도 47개가 러시아어를 사용하는 사이버 범죄자들에 의해 개발된 것으로 드러났다.

보고서에 따르면 제한적인 능력만을 가지고 있던 소규모 랜섬웨어 조직들이 날이 갈수록 전 세계의 개인 사용자들 및 기업들을 공격할 수 있는 수단을 갖춘 거대 범죄 조직으로 성장하고 있다.

지난해 전 세계에서 랜섬웨어 공격을 당한 사용자는 144만5000명에 이르며, 랜섬웨어 지하조직 생태계가 발전하면서 범죄자들이 별다른 기술이나 자본 없이도 손쉽게 암호화 랜섬웨어 공격을 할 수 있었던 것으로 드러났다.

개발·유포·협력 세분화된 랜섬웨어 공격 조직

카스퍼스키랩 연구진들은 랜섬웨어 산업에 연루된 범죄자를 ▲새로운 랜섬웨어의 개발 및 업데이트하는 조직 ▲랜섬웨어 유포시킬 협력 프로그램의 개발 및 지원을 담당하는 조직 ▲파트너로서 협력 프로그램에 참여하는 조직으로 구분했다.

개발·업데이트를 위해서는 고급 코드 개발 기술이 필요하다. 이 단계에 있는 사이버 범죄자들은 전체 랜섬웨어 생태계에서 가장 중요한 요소인 랜섬웨어를 개발하는 역할을 맡은 만큼 전체 조직에서 가장 중요한 사람들이라고 할 수 있다.

다음으로 두 번째 단계에는 협력 프로그램 개발자들이 있다. 이들은 익스플로잇 키트, 악성 스팸 등 다양한 도구를 사용해 랜섬웨어 개발자들이 내놓은 랜섬웨어를 유포하는 역할을 맡다.

전체 환경의 가장 마지막 단계에는 협력 프로그램 파트너들이 있다. 이들은 각종 방법을 동원해 협력 프로그램 소유자들이 랜섬웨어를 유포하는 것을 돕고 그 대가로 협력 프로그램 소유자들이 받는 수익 일부를 지급받는다. 범죄 행위에 동참하겠다는 의지를 갖고 비트코인 몇 개만 지불하면 손쉽게 이러한 협력 프로그램 파트너가 될 수 있다.

카스퍼스키랩의 추산에 따르면 이러한 협력 프로그램 한 개로 벌어들이는 하루 총수입은 수천 달러에서 많게는 수 십만 달러에 이르는 것으로 밝혀졌으며, 범죄자들은 약 60% 정도를 순수익으로 얻는다.

지하 조직 생태계 및 사건 대응 활동에 대한 조사 과정에서 카스퍼스키랩은 전문적으로 암호화 랜섬웨어를 개발 및 유포하는 러시아어 사용 범죄자들로 구성된 대규모 조직을 다수 발견했다. 이러한 조직들은 수십 명에 달하는 파트너를 연합할 수 있으며, 각 파트너는 고유한 협력 프로그램을 보유하고 있다.

이들은 일반 인터넷 사용자들뿐 아니라 여러 중소기업과 대기업들까지 공격 목표로 삼고 있다. 초기에는 러시아 및 독립국가연합(CIS)의 사용자들과 기업들을 공격 대상으로 삼았던 이들 조직은 최근 목표를 확장하여 전 세계 곳곳의 기업을 노리고 있다.

이창훈 카스퍼스키랩코리아 지사장은 “대다수 랜섬웨어가 러시아어를 사용하는 조직들로부터 배포된 이유가 무엇인지 단정적으로 말하기 어렵지만, 제한적인 능력을 갖고 있던 소규모 조직이 각종 수단을 보유한 대규모 범죄 조직으로 성장해 러시아뿐 아니라 전 세계를 위협하고 있다는 사실에 주목해야 한다”고 말했다.

그는 “이와 비슷한 악성 코드 사례로는 러크(Lurk)의 경우를 들 수 있다. 러크 초기에는 온라인 뱅킹 사용자들을 대상으로 광범위한 공격을 감행했고, 이후 은행을 비롯한 대규모 기업들까지 노릴 수 있는 수준까지 그 규모가 커진 바 있다”고 지적했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.