Home > 전체기사
한국 괴롭힌 랜섬웨어 7개 피해금액 집계했더니... ‘케르베르’ 1위
  |  입력 : 2019-07-12 11:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
케르베르, 전체 35%로 피해 사례 1위... 환산 피해액 가장 많은 건 매그니베르
대검찰청, ‘국제 정보보호 컨퍼런스(ICIS)’에서 국내 랜섬웨어 피해 현황 발표


[보안뉴스 양원모 기자] 소문난 잔치엔 먹을 게 없는 법일까. 비트코인 기준으로 현재까지 국내에서 가장 많은 피해 사례가 발생한 랜섬웨어는 2017년 악명을 떨친 ‘워너크라이(WannaCry)’가 아닌 ‘케르베르(Cerber)’로 나타났다. 대검찰청이 랜섬웨어의 DNS 시드 주소 250여 개를 분석해 추정한 결과다.

[이미지=iclickart]


서울 잠실롯데호텔에서 열린 ‘국제 정보보호 컨퍼런스(ICIS)’에서 김민영 대검찰청 사이버수사과 수사관은 “케르베르는 국내에서 가장 많은 피해자와 피해 금액을 발생시킨 랜섬웨어”라고 말했다. 총 건수는 4,200건으로, 검찰이 확인한 1만2,000건의 랜섬웨어 피해 사례 중 약 35%를 차지했다. 범죄 수익도 3,400BTC로 가장 많았다. 케르베르 활동 시기(2016~2017년 초)를 기준으로 환산하면 36억 정도다.

검찰은 랜섬웨어 수익금 추적을 위해 국내 복구업체로부터 복구비용 지불에 사용된 DNS 시드 주소 250여 개를 확보했다. 이어 △피해 금액의 유사성 △취합 트랜잭션 △클러스터링 등을 분석해 자금의 흐름을 쫓았다. DNS 시드는 블록체인에 접속할 때, 활성화 노드를 찾기 위해 소스코드에 기재돼 있는 서버 IP 주소를 말한다. 검찰은 이 주소들을 기반으로, 피해 금액들이 취합된 기록(취합 트랜잭션)이나 입출금 주소의 개수 및 형태(클러스터링)를 조사했다.

분석 대상이 된 랜섬웨어는 록키(Locky), 케르베르(Cerber), 크립트XXX(CryptXXX), 워너크라이(WannaCry), 에레버스(Erebus), 매그니베르(Magniber), 클롭(CLOP) 총 7개였다. 2018년 맹위를 떨친 갠드크랩은 대상에서 제외됐다. 지불수단으로 비트코인을 활용하지 않아서다. 김 수사관은 “갠드크랩은 대시와 비트코인으로 복구 비용을 지불받는데, 비트코인의 수수료는 10% 수준”이라고 말했다. 수수료가 저렴한 대시를 범죄조직이 선호하고 있다는 것이다.

▲김민영 대검찰청 사이버수사과 수사관이 10일 ‘국제 정보보호 컨퍼런스(ICIS)’에서 국내 랜섬웨어 피해 현황을 소개하고 있다[사진=보안뉴스]


2016년 이메일을 통해 공공기관에 대량 유포됐던 록키는 1,700여 건이 발생한 것으로 집계됐다. 전체 사례의 20% 정도다. 피해 금액은 3,151BTC였다. 케르베르에 이어 두 번째 규모다. 록키의 피해액 대부분은 러시아 암호화폐 거래소 ‘BTC-e’로 유입된 것으로 확인됐다. 2017년 전 국민을 공포에 떨게한 워너크라이는 의외로 피해가 적었던 것으로 조사됐다. 국내에서 총 31건의 피해 사례가 발생했고, 4.67BTC가 지불된 것으로 나타났다. 김 수사관은 “명성에 비해 피해자 지불 건수는 그렇게 많지 않았다”고 말했다.

피해 금액들이 취합된 기록(취합 트랜잭션)이 가장 많은 랜섬웨어는 크립트XXX였다. 전체 500여개의 취합 트랜잭션 중 300개 이상이 확인됐다. 국내 한 온라인 커뮤니티에서 유포가 시작된 크립트XXX는 거래 기록을 감추는 믹싱(Mixing) 서비스를 활용했지만 △이체 지연이 거의 없고 △고정 수수료(0.6~0.8%)를 사용해 분석이 가능했다. 록키와 마찬가지로 대부분의 수익금은 BTC-e로 집중됐다.

매그니베르는 총 2,300여 건의 피해 사례가 발생했고, 743BTC가 범죄 수익으로 지불됐다. 다만, 한화로 환산한 피해액은 47억으로 가장 많았다. 당시 비트코인 가격이 케르베르 활동 시기(2016년)보다 비쌌기 때문이다. 김 수사관은 “(매그니베르는) 수집된 시드 주소 중 가장 많은 숫자를 차지했고, 요구 금액에 규칙성이 있었다”고 설명했다. 기업의 윈도 AD 서버를 겨냥하는 클롭은 5개 기업을 공격해 225BTC의 수익을 올렸다. 시기에 맞게 환산하면 15억 5,000만원 정도다. 김 수사관은 “가장 가성비(가격 대비 성능)이 좋았다”고 평가했다.

김 수사관은 랜섬웨어 피해 사례가 점점 늘어날 것으로 전망했다. 최근 다시 비트코인 가격이 폭등하고 있기 때문이다. 그는 “비트코인 시세가 1,600만 원을 넘으면서 앞으로 공격과 피해가 증가할 것으로 계속 예상된다”며 시만텍 보고서를 인용해 “특히, 개인보다 기업을 대상으로 하는 랜섬웨어 공격이 증가할 것”이라고 말했다. 시만텍은 지난 2월 발간한 ‘인터넷 보안위협 보고서(ISTR)’에서 “기업을 대상으로 한 랜섬웨어 공격이 12% 증가했다”고 밝힌 바 있다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)