곳곳에서 풍겨나는 전문가의 솜씨··· 신종 '스포라' 랜섬웨어 출현

새로운 랜섬웨어가 포착됐다. 스포라(Spora)라는 이름의 이 프로그램은 강력한 오프라인 파일 암호화 실행, 새로운 랜섬 지불 모델의 도입 등을 특징으로 한다.


Credit: Peter Sayer

이 맬웨어는 현재까지는 러시아어권 사용자들만을 타깃으로 하고 있지만, 최근 복호화 포털의 영문 버전이 제작되며 향후 타 국가들로도 공격 범위를 넓혀갈 것임을 암시하고 있다. 스포라가 주목 받는 이유는 지령 관리(CnC, Command-and-Control) 서버에 대한 접근 없이도 파일을 암호화하고, 개별 피해자에게 독립적인 복호화 키를 부여할 수 있다는 특징 때문이다.

전통적인 랜섬웨어 프로그램들은 모든 암호화 파일에 대한 고급 암호 표준(AES, Advanced Encryption Standard) 키를 생성하고, CnC 서버에 의해 생성된 RSA 공개 키를 통해 해당 키를 암호화하는 방식을 활용했었다.

RSA와 같은 공개 키 암호 방식은 하나의 공개 키와 하나의 사설 키가 짝을 이룬 키 쌍을 활용한다. 하나의 공개 키를 통해 암호화된 파일이라도 사설 키에 따라 해독이 제한되는 원리를 이용한 방식이다.

대부분의 랜섬웨어 프로그램은 컴퓨터에 설치된 이후 CnC 서버에 접촉하고 RSA 키 쌍 생성을 요청한다. 이때 공개 키는 컴퓨터로 직접 다운로드 되는 반면, 사설 키는 서버에 흔적을 남기지 않으며 공격자의 소유로만 남게 된다. 피해자들이 돈을 내고 구매하는 것이 바로 이 키다.

문제는 랜섬웨어 설치 후 인터넷 상의 서버에 접근해야 한다는 특성이, 공격자들에겐 일종의 취약점으로 작용한다는 점이다. 예를 들어 만일 보안 업체가 서버의 위치를 확인해 방화벽으로 차단할 경우 암호화를 시작하지도 못하게 된다.

몇몇 랜섬웨어 프로그램은 일명 ‘오프라인 암호화’라는 방식으로 이 문제를 해결하고자 시도해왔지만, 이 방식 역시 모든 피해자의 맬웨어에 직접 입력된 동일한 RSA 공개 키를 이용하는 것이었다. 이런 방식 하에서는 공격자가 한 명의 피해자에게 해독 툴을 전달할 경우, 그것이 다른 피해자들에게도 모두 효과가 있다는 단점이 존재한다. 피해자들에게 적용된 사설 키 역시 모두 동일하기 때문이다.

그러나 스포라의 암호화 방식을 분석한 보안 업체 엠시소프트(Emsisoft)의 연구진은, 이 신형 랜섬웨어가 위의 기존 문제들을 해결했다고 설명한다.

직접 입력된 RSA 공개 키를 포함하고 있다는 점에서는 동일하지만, 그 용도를 각 피해자에 대해 로컬 생성된 개별 AES 키 암호화에만 이용하는 것이 스포라의 방식이다. AES 키는 이후 공개-사설 RSA 키 쌍의 사설 키를 암호화하는데 이용된다. 이 사설 키 역시 개별 피해자에 따라 상이한, 개별 생성 키들이다. 끝으로 피해자의 공개 RSA 키는 개별 파일 암호화에 이용되는 AES 키들을 암호화하는데 쓰인다.

간단히 말해 기존의 랜섬웨어 프로그램들이 적용해오던 AES, RSA 암호화를 한 사이클 추가한 것이 스포라의 전략인 것이다.

합의에 응할 경우, 피해자는 자신의 암호화된 AES 키를 공격자의 지불 웹사이트에 업로드 해야 한다. 이후 공격자는 마스터 RSA 사설 키를 이용해 이를 복호화 해 피해자에게 반환한다. 일종의 복호기 툴 묶음을 전달하는 방식이다.

복호기는 이 AES 키들을 이용해 로컬 생성된 피해자의 고유 RSA 사설 키를 복호화 하고, 이 키는 파일 복구에 필요한 파일별 AES 키를 복호화 하는데 이용된다.

이러한 방식을 통해 스포라는 CnC 서버 없이도, 또 마스터 키 배포 없이도 모든 피해자를 유효하게 공략할 수 있다. 엠시소프트의 연구진은 블로그 포스트를 통해 “스포라의 암호화 방식을 연구한 결과, 안타깝게도 현재로써는 맬웨어 배포자의 사설 키를 얻지 않고는 암호화된 파일을 복구할 방법을 발견할 수 없었다”라고 설명했다.

다른 측면에서도 스포라의 운영 방식은 여타 랜섬웨어들과 차별화됐다. 대표적으로 스포라 제작자들은 피해자 유형에 따라 서로 다른 몸값을 요구하는 시스템을 운영하고 있었다. 공격자들은 피해자들이 지불 웹사이트에 업로드 해야 하는 암호화 키에 별도의 맬웨어가 적용돼 개별 캠페인 ID 등 감염된 컴퓨터의 신원 정보를 수집했다.

이는 추후 공격자가 비즈니스들을 특수하게 타겟팅 하는 스포라 배포 캠페인을 개시할 경우, 해당 캠페인의 피해자에게 복호화 서비스 이용 시도 시간을 파악하는데 활용되고, 해당 정보는 공격자가 일반 소비자, 비즈니스 사용자, 혹은 해외 지역 사용자 등의 기준에 따라 합의금을 자동 조정하는데 이용된다.

파일 복호화에 더해, 스포라 집단은 ‘부가서비스’까지 개발해 운영하고 있었다. 향후 컴퓨터에 대한 재공격 금지를 보장하는 ‘면역’ 서비스와 파일 복호화 이후 프로그램을 삭제해주는 ‘제거’ 서비스가 그것이다. 복호화와 두 부가서비스를 함께 구매하는 피해자들에겐 패키지 할인도 적용된다.

지불 웹사이트 자체 역시 매우 훌륭히 디자인돼 전문적인 인상을 준다. 피해자들은 통합 라이브 챗 기능을 이용해 비용 협상 등의 문의가 가능하다. 엠시소프트 연구진의 테스트 결과, 문의에 대한 회신은 즉각적으로 이뤄졌다.

이런 전문적이고 철저한 운영에도 불구하고, 스포라 측이 요구하는 합의금은 다른 랜섬웨어들에 비해 저렴한 수준이다. 시장에 신속히 정착하기 위한 전략으로 보인다.

연구에 따르면 현재 스포라 배포는 러시아어권 내 인기 회계 소프트웨어 프로그램을 모방한 허위 이메일 첨부파일 형태로 배포되고 있다. 운송장으로 위장해 첨부된 파일은 .HTA(HTML 애플리케이션) 파일로, 악성 자바스크립트 코드를 포함하고 있다. ciokr@idg.co.kr