랜섬웨어뉴스

소문난 잔치엔 먹을 게 없는 법일까. 비트코인 기준으로 현재까지 국내에서 가장 많은 피해 사례가 발생한 랜섬웨어는 2017년 악명을 떨친 ‘워너크라이(WannaCry)’가 아닌 ‘케르베르(Cerber)’로 나타났다. 대검찰청이 랜섬웨어의 DNS 시드 주소 250여 개를 분석해 추정한 결과다. ​

분석 대상이 된 랜섬웨어는 록키(Locky), 케르베르(Cerber), 크립트XXX(CryptXXX), 워너크라이(WannaCry), 에레버스(Erebus), 매그니베르(Magniber), 클롭(CLOP) 총 7개였다. 2018년 맹위를 떨친 갠드크랩은 대상에서 제외됐다. 지불수단으로 비트코인을 활용하지 않아서다. 김 수사관은 “갠드크랩은 대시와 비트코인으로 복구 비용을 지불받는데, 비트코인의 수수료는 10% 수준”이라고 말했다. 수수료가 저렴한 대시를 범죄조직이 선호하고 있다는 것이다.

피해 금액들이 취합된 기록(취합 트랜잭션)이 가장 많은 랜섬웨어는 크립트XXX였다. 전체 500여개의 취합 트랜잭션 중 300개 이상이 확인됐다. 국내 한 온라인 커뮤니티에서 유포가 시작된 크립트XXX는 거래 기록을 감추는 믹싱(Mixing) 서비스를 활용했지만 △이체 지연이 거의 없고 △고정 수수료(0.6~0.8%)를 사용해 분석이 가능했다. 록키와 마찬가지로 대부분의 수익금은 BTC-e로 집중됐다.

매그니베르는 총 2,300여 건의 피해 사례가 발생했고, 743BTC가 범죄 수익으로 지불됐다. 다만, 한화로 환산한 피해액은 47억으로 가장 많았다. 당시 비트코인 가격이 케르베르 활동 시기(2016년)보다 비쌌기 때문이다. 김 수사관은 “(매그니베르는) 수집된 시드 주소 중 가장 많은 숫자를 차지했고, 요구 금액에 규칙성이 있었다”고 설명했다. 기업의 윈도 AD 서버를 겨냥하는 클롭은 5개 기업을 공격해 225BTC의 수익을 올렸다. 시기에 맞게 환산하면 15억 5,000만원 정도다. 김 수사관은 “가장 가성비(가격 대비 성능)이 좋았다”고 평가했다.

[ 보안뉴스 ] 양원모 기자​원문보기