랜섬웨어가 늘어나면서 해커들이 ‘몸값’을 요구하는 일도 많아졌다. 하지만 모든 몸값 요구에 응할 필요는 없다. 그중에서 일부는 ‘무의미한 위협’일 수 있기 때문이다.
2016 임원 애플리케이션 & 네트워크 보안 조사(2016 Executive Application & Network Security Survey)에서 랜섬웨어를 경험하지 않은 응답자 가운데 대다수는 몸값을 지불하지 않을 것이라고 말했다. 미국에서 랜섬웨어 공경을 경험한 응답자는 절반 이상이었는데, 이들 중 일부도 지불하지 않았다고 밝혔다. 한 응답자는 공격자가 자료를 복구해줄 거라는 확신이 서지 않아서 몸값을 내지 않았다고 이유를 설명했다.
그렇다면, 공격자가 실제 네트워크를 통제하고 이를 인질로 잡고 있다는 것을 어떻게 알 수 있을까? 보안업체가 라드웨어는 기업이 가짜 해커들에게 속지 않으려면 무엇에 주의해야 하는지 소개했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
요구액은 얼마인가?
디도스(DDoS) 공격 집단인 아마다 콜렉티브(Armada Collective)가 보통 20비트코인(공격이 최고에 달할 때 대략 6,000달러)을 요구하며, 다른 집단도 20비트코인 내외를 요구한다. 하지만 가짜 해커들은 다른 금액을 요구한다. 적은 비트코인을 요구하는 랜섬웨어 메일은 가짜 해커 집단이 보냈을 가능성이 크다. 전문가의 도움을 구하는 것보다 해커에게 돈을 주는 게 더 저렴하다면 그렇게 하려는 ‘희생양’을 찾는 것이다.
네트워크에 변화가 있나?
진짜 해커는 몸값이 도착할 때까지 자잘한 공격을 일으키면서 자신들의 존재감을 드러낸다. 네트워크 활동에서 변화를 찾아볼 수 있다면, 아마도 그 메일과 위협은 진짜일 것이다.
조직적인가?
진짜 해커는 조직적이다. 하지만 가짜 해커는 웹사이트에 연결하지 않고 공식 소셜미디어 계정도 없다.
다른 회사도 공격받았나?
진짜 해커는 단일 업종의 여러 회사를 공격하는 경향이 있다. 가짜 해커들은 덜 조직적이고, 빨리 돌을 벌고자 하는 마음에 아무나 대상으로 삼는다. 이 공격이 업계에 확산됐는지 알아보려면, 동종 업계의 타 회사나 동료들과 연락해 정보를 공유하라.
도메인 명이 얼마나 오래 됐나?
도메인 명이 얼마나 오래됐는지가 위협의 타당성을 판단하는 데 도움이 될 수 있다. 상대적으로 최신 도메인 명인데 랜섬웨어 기록이 발견됐다는 것은 가짜 해커들이라는 신호일 수 있다.
몸값을 어떻게 전달하나?
몸값을 어떻게 전달했나? 대부분의 심각한 위협들은 익명의 이메일이나 다크넷 이메일 서비스를 통해 오지만, 이즈BTC 스쿼드(ezBTC Squad) 같은 일부 집단은 자신들의 메시지를 소셜미디어로 전달하는 것으로 알려졌다. 실제 공격자들이 지메일이나 다른 주요 메일 서비스를 이용하는 지는 알려져 있지 않다.
이메일 발송처가 어디인가?
이메일 헤더를 확인해 해당 이메일의 출처를 찾아보라. 해당 이메일이 믿을만한 출처에서 온 것인지 아닌지를 결정하는 데 도움이 될 것이다. 또 서비스 업체에 연락해 의심 가는 거래에 관한 알려줄 수 있다.
맞춤법과 문법이 틀렸나?
가짜 랜섬웨어 메일은 종종 실제 기록을 모방한 것으로 여기에는 맞춤법이 틀렸거나 문법이 맞지 않는 문장이 들어 있다.
BTC 주소가 정확한가?
BTC 주소를 구글에서 검색하고 블록체인에 그것을 찾아보라. 이 주소가 고유한 것이 아니거나, 이미 지갑에 돈이 있다면 이 메일이 가짜일 가능성이 있다. 해당 주소가 고유한 것이 아니거나 지갑 안에 이미 돈이 들어있다면, 가짜 해커들은 피해자가 몸값을 지불했는지 알려주지 못할 것이다.