피해자들에게 함께 일하자고 설득하는 키메라 랜섬웨어

정중하게 채용 메시지 발송하는 랜섬웨어 집단
상당히 허술하게 만들어진 코드로 기술력 논란

[보안뉴스 주소형] 지난 9월에 등장했던 키메라(Chimera) 랜섬웨어가 피해자들에게 채용 메시지를 보내고 있다고 트렌드마이크로(Trend Micro)의 트렌드 랩스(Trend Labs)에서 밝혔다. 트렌드마이크로 따르면 키메라 랜섬웨어는 자신들의 범죄 조직에 합류하면 암호화했던 피해자들의 파일과 기기를 풀어주겠다고 협박(?)하고 있다.

이들은 다른 랜섬웨어 메시지들과 달리 상당히 공손한 어조를 사용하고 있다. 영어로 ‘please’라는 단어를 두 번이나 쓰기도 했다. 트렌드마이크로 연구원들이 입수한 해당 메시지의 말미에는 다음과 같은 표현을 사용했다.

“저희는 다양한 연계 프로그램을 갖추고 있습니다. 다양한 경험을 해보세요. 후회하지 않을 것입니다. 이에 대한 자세한 정보는 이 파일의 소스코드 안에 있습니다.”

코드들을 종합해보면 연락처와 비트메시지가 나온다. 이는 신분을 알 수 없는 이들에게 연결되는데 그들의 대화는 암호화되어 있다. 해독된 내용은 다음과 같다.

“랜섬웨어를 하나의 서비스 비즈니스로 생각하면 된다. 쉽게 말해 랜섬웨어를 상품처럼 영업하는 것이다. 법의 감시를 피해 성공적으로 판매를 성공하면 그에 대한 보상을 바로 해주겠다. 다만 수수료는 50%다.”

그런데 수상한 점은 해당 코드들이 상당히 허술하다는 점이다. 특별히 높은 기술이 사용되지 않았고 이들의 C&C(command-and-control) 인프라 자체가 굉장히 취약하다고 트렌드마이크로는 설명했다.

사실 이러한 기술력 문제는 지난 9월, 키메라 랜섬웨어가 최초로 등장했을 때도 제기된 부분이다. 협박 메시지를 발송하기는 했으나, 그럴 능력이 없다는 것. “우리가 분석해본 바로는 해당 멀웨어는 피해자의 C&C 서버로 접근할 능력조차 없다. 상당히 허술하게 만들어진 멀웨어에 불과했다.” 트렌드마이크로 연구원의 말이다.

실제로 위협능력이 없는 랜섬웨어에 대한 논란은 이번이 처음이 아니다. 라스트라인(LastLine) 사 수석 개발자인 엥긴 커다(Engin Kirda)는 모든 랜섬웨어가 무서운 건 아니라고 주장했다. 수많은 랜섬웨어 가운데 정말 강력한 건 일부고, 대부분이 겁만 주는 협박용이라는 것. 또한, 인텔 시큐리티(Inter Security) 사 부사장인 마이클 샌토나스(Michael Sentonas) 역시 사용자들의 파일을 암호화하지도 못하고 협박 메시지만 발송하는 랜섬웨어가 많은 것은 사실이라면서도 다만 방심해서는 절대 안 된다고 강조했다.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)