2017.10.24

'이제는 체계 잡힌 비즈니스'··· 랜섬웨어 생태계 살펴보기

Steve Ragan | CSO
랜섬웨어(Ransomware) 시장을 조사한 카본 블랙(Carbon Black)의 연구원들은 범죄경제의 부상에 관한 흥미로운 몇 가지 사실을 발견했다. 합법적인 소프트웨어 개발용 기술 시장에서 볼 수 있는 것처럼 랜섬웨어 시장은 특수한 맞춤형 솔루션과 턴키(Turnkey) 상품이 지배하고 있다.

2개월 동안 카본 블랙의 연구원들은 다크넷(Darknet)에서 랜섬웨어가 개발돼 범죄자들에게 판매되는 방식을 연구했다. 예상했겠지만 수 백 명의 판매자들이 수 만 개(약 4만 5,000개)의 제품을 판매하고 있었다.

또 랜섬웨어 제품의 가격이 하락하고 있음에도 불구하고 전체적인 랜섬웨어 경제는 2016년부터 2017년까지 25만 달러에서 624만 달러로 2,500% 이상 성장했다.

하지만 이런 수치는 랜섬웨어 제품의 기본 가격에서 도출된 것에 불과하다. 사용자 정의 및 맞춤형 서비스를 반영하기는 어려웠으며, 일부 랜섬웨어 제품은 판매되고 있지 않다는 점도 감안되지 않았다.

그렇다면 대가를 지불한 후에는 어떻게 될까? 랜섬웨어 캠페인을 운영하는 사람은 돈만 받고 사라질까? 그렇다고 생각하기 쉽지만 현실은 완전히 다르다.

일부 판매자는 연간 랜섬웨어로 10만 달러 이상을 벌어 들이고 있지만 수지를 맞추지 못하는 사람들도 있다. 일반적으로 순수익을 얻지 못하는 사람들은 간접비가 너무 높거나 대가를 받을 수 있을지도 모른다는 생각에 잠재적인 표적 목표에 접촉한 사람들이었다.

랜섬웨어 개발자는 큰 돈을 벌고 있다. 왜냐하면 실제로 돈이 되는 사용자 정의 솔루션과 비용, 교육, 인프라(턴키 솔루션)가 거의 필요 없는 기능 키트를 개발할 수 있기 때문이었다.



확대되는 랜섬웨어 시장
랜섬웨어 제품은 기본적인 10달러짜리부터 안드로이드용 표적화 제품(250달러)와 사용자 정의 제품(1,400달러)까지 다양하다. 사용자 정의 수준이 높아지면 가격도 높아진다. 카본 블랙이 관찰한 가장 비싼 랜섬웨어 제품은 3,000달러였지만 키트 전체가 표적화된 캠페인에 사용될 수 있도록 완전히 사용자 정의된 제품이었다.

사용자 정의의 경우 랜섬웨어 작성자는 암호화 수준, 파일 표적화 또는 복사, 시스템 재부팅 시 파일 삭제 능력, 맬웨어(Malware) 유지, 대가 요구가 충족되지 않으면 24시간마다 파일을 삭제하는 강제 타이머 등 다양한 옵션을 제공한다.

광범위한 옵션은 랜섬웨어와 연계된 경제가 발전한 이유들 중 하나에 지나지 않는다. 또 다른 이유는 가용성이다. 투자와 간접비가 거의 없는 상황에서 누구든 적정 규모의 캠페인을 운영할 수 있는 기회가 있다.

카본 블랙의 연구원들은 "에스크로(Escro) 시스템을 통한 고위험 저신뢰 거래를 더욱 잘 지원하기 위해 다크 웹 시장이 발전했다. 뿐만 아니라 토르(Tor) 네트워크를 이용한 대가 지불 요건을 통해 수사를 피하기 쉽다. 중앙 집중된 종점이 없는 것이다”라고 카본 블랙의 연구원들이 설명했다.


결국 랜섬웨어 시장이 성숙한 주된 이유는 피해자들이 돈을 지불하는 행위다. 그들은 파일을 복구하기 위해 대가를 지불하고 있다. 2016년, FBI는 대가로 지불된 돈이 10억 달러 이상인 것으로 추정했다. 그렇지 않았다면 범죄자들이 다른 수익성이 좋은 표적으로 옮겨 갔을 것이다.

백업이나 탄탄한 복구 계획이 없는 조직들은 랜섬웨어에 당하면 어려운 문제에 직면하여 파일을 잃거나 공격자에게 대가를 지불하는 경우가 많다. 최근의 연구에서 카본 블랙이 참가자들에게 랜섬웨어 사건 중 파일을 복구하기 위해 대가를 지불할 의향이 있는지 여부를 물었을 때 52%가 그렇다고 답했다.

랜섬웨어 공급망의 작동 방식
랜섬웨어 시장은 그리 복잡하지 않다. 그 핵심을 보면 다른 것들과 같다. 랜섬웨어 개발자는 제품을 개발한 후 부가물과 지원을 제공한다. 이 과정에서 강력한 코드 기술력이 요구된다.

작성자는 직접 판매해 더 높은 수익을 얻을 수 있지만 이 경우 시장 도달 범위가 제한된다. 대신에 기본 키트를 개발하고 사용자 정의를 홍보하면서 판매하는 경우가 많다.

또 다른 옵션은 캠페인을 운영하고 그런 식으로 액세스를 판매하기 위해 필요한 랜섬웨어와 관리 환경 또는 서비스형 랜섬웨어(RaaS)를 개발하는 것이다.

RaaS의 경우 진입 장벽이 저렴하고 거의 없는 반면 랜섬웨어 캠페인을 운영하기 위해 기술이 필요하다. 사실 (캠페인이 시작되기 전에 결정된) 대가 지불금을 깎기 위해 대부분의 랜섬웨어 개발자는 일정 수준의 사용자 정의 작업과 지원을 제공한다.

RaaS에는 신뢰하거나 검증된 고객(다른 확인된 범죄자가 있는 사람들은 보증을 제공한다.)과 일반 고객 등 두 가지 수준이 있다. 평판이 중요하다. 동료 범죄자들 중에서 명성이 높을수록 더 많은 돈을 벌 수 있다.

또한 대부분의 RaaS 제품은 광범위한 지표를 제공하여 효과와 수익에 따라 캠페인의 등급을 매길 수 있다. 이런 환경에서 랜섬웨어 작성자는 배포자와 달리 보호 받는 경향이 있다.

랜섬웨어 멈추기와 시장 죽이기
“랜섬웨어 공급망을 깨는 것과 관련하여 한 가지 희망이 있다면 방어하는 이들에게 이익이 있다는 점이다. 방어자가 체인의 연결고리 중 하나만 끊거나 중단할 수 있다면 공격 전체가 와해된다”라고 카본 블랙이 보고서를 통해 밝혔다.

“배포자와 운영자를 무너뜨리는 것은 문제의 꼬리를 좇는 것이다. 지하 랜섬웨어 경제에 타격을 입히기 위해서는 공급망 업스트림을 파괴하고 맬웨어 작성자의 유인을 바꾸기 위한 노력을 기울여야 한다. 공격자의 ROI를 낮춤으로써 방어자는 범죄의 재무적인 유인을 줄일 수 있다”라고 보고서는 전하고 있다.

핵심은 대가 지불을 멈추는 것이다. 이것인 랜섬웨어 시장에서 중요한 부분 중 하나다. 캠페인을 운영하는 사람들은 대가를 지불할 가능성이 높은 지리적 위치와 조직 유형에 노력을 집중하기 마련이다.

이번 달 초 솔티드 해시(Salted Hash)는 단순히 적절한 시험과 관리를 거친 백업을 확보함으로써 랜섬웨어 문제를 극복한 한 관리자를 조명한 있다. 카본 블랙의 릭 맥엘로이는 “파일과 시스템 백업, 복원 시험, 패치, 적절한 기업 측면의 시인성 확보, 레거시 백신 등의 오래된 방지 조치 [업데이트] 등 기본적인 차단과 보안 조치를 제대로 취하지 못하는 경우가 많다”라고 말했다. ciokr@idg.co.kr 



2017.10.24

'이제는 체계 잡힌 비즈니스'··· 랜섬웨어 생태계 살펴보기

Steve Ragan | CSO
랜섬웨어(Ransomware) 시장을 조사한 카본 블랙(Carbon Black)의 연구원들은 범죄경제의 부상에 관한 흥미로운 몇 가지 사실을 발견했다. 합법적인 소프트웨어 개발용 기술 시장에서 볼 수 있는 것처럼 랜섬웨어 시장은 특수한 맞춤형 솔루션과 턴키(Turnkey) 상품이 지배하고 있다.

2개월 동안 카본 블랙의 연구원들은 다크넷(Darknet)에서 랜섬웨어가 개발돼 범죄자들에게 판매되는 방식을 연구했다. 예상했겠지만 수 백 명의 판매자들이 수 만 개(약 4만 5,000개)의 제품을 판매하고 있었다.

또 랜섬웨어 제품의 가격이 하락하고 있음에도 불구하고 전체적인 랜섬웨어 경제는 2016년부터 2017년까지 25만 달러에서 624만 달러로 2,500% 이상 성장했다.

하지만 이런 수치는 랜섬웨어 제품의 기본 가격에서 도출된 것에 불과하다. 사용자 정의 및 맞춤형 서비스를 반영하기는 어려웠으며, 일부 랜섬웨어 제품은 판매되고 있지 않다는 점도 감안되지 않았다.

그렇다면 대가를 지불한 후에는 어떻게 될까? 랜섬웨어 캠페인을 운영하는 사람은 돈만 받고 사라질까? 그렇다고 생각하기 쉽지만 현실은 완전히 다르다.

일부 판매자는 연간 랜섬웨어로 10만 달러 이상을 벌어 들이고 있지만 수지를 맞추지 못하는 사람들도 있다. 일반적으로 순수익을 얻지 못하는 사람들은 간접비가 너무 높거나 대가를 받을 수 있을지도 모른다는 생각에 잠재적인 표적 목표에 접촉한 사람들이었다.

랜섬웨어 개발자는 큰 돈을 벌고 있다. 왜냐하면 실제로 돈이 되는 사용자 정의 솔루션과 비용, 교육, 인프라(턴키 솔루션)가 거의 필요 없는 기능 키트를 개발할 수 있기 때문이었다.



확대되는 랜섬웨어 시장
랜섬웨어 제품은 기본적인 10달러짜리부터 안드로이드용 표적화 제품(250달러)와 사용자 정의 제품(1,400달러)까지 다양하다. 사용자 정의 수준이 높아지면 가격도 높아진다. 카본 블랙이 관찰한 가장 비싼 랜섬웨어 제품은 3,000달러였지만 키트 전체가 표적화된 캠페인에 사용될 수 있도록 완전히 사용자 정의된 제품이었다.

사용자 정의의 경우 랜섬웨어 작성자는 암호화 수준, 파일 표적화 또는 복사, 시스템 재부팅 시 파일 삭제 능력, 맬웨어(Malware) 유지, 대가 요구가 충족되지 않으면 24시간마다 파일을 삭제하는 강제 타이머 등 다양한 옵션을 제공한다.

광범위한 옵션은 랜섬웨어와 연계된 경제가 발전한 이유들 중 하나에 지나지 않는다. 또 다른 이유는 가용성이다. 투자와 간접비가 거의 없는 상황에서 누구든 적정 규모의 캠페인을 운영할 수 있는 기회가 있다.

카본 블랙의 연구원들은 "에스크로(Escro) 시스템을 통한 고위험 저신뢰 거래를 더욱 잘 지원하기 위해 다크 웹 시장이 발전했다. 뿐만 아니라 토르(Tor) 네트워크를 이용한 대가 지불 요건을 통해 수사를 피하기 쉽다. 중앙 집중된 종점이 없는 것이다”라고 카본 블랙의 연구원들이 설명했다.


결국 랜섬웨어 시장이 성숙한 주된 이유는 피해자들이 돈을 지불하는 행위다. 그들은 파일을 복구하기 위해 대가를 지불하고 있다. 2016년, FBI는 대가로 지불된 돈이 10억 달러 이상인 것으로 추정했다. 그렇지 않았다면 범죄자들이 다른 수익성이 좋은 표적으로 옮겨 갔을 것이다.

백업이나 탄탄한 복구 계획이 없는 조직들은 랜섬웨어에 당하면 어려운 문제에 직면하여 파일을 잃거나 공격자에게 대가를 지불하는 경우가 많다. 최근의 연구에서 카본 블랙이 참가자들에게 랜섬웨어 사건 중 파일을 복구하기 위해 대가를 지불할 의향이 있는지 여부를 물었을 때 52%가 그렇다고 답했다.

랜섬웨어 공급망의 작동 방식
랜섬웨어 시장은 그리 복잡하지 않다. 그 핵심을 보면 다른 것들과 같다. 랜섬웨어 개발자는 제품을 개발한 후 부가물과 지원을 제공한다. 이 과정에서 강력한 코드 기술력이 요구된다.

작성자는 직접 판매해 더 높은 수익을 얻을 수 있지만 이 경우 시장 도달 범위가 제한된다. 대신에 기본 키트를 개발하고 사용자 정의를 홍보하면서 판매하는 경우가 많다.

또 다른 옵션은 캠페인을 운영하고 그런 식으로 액세스를 판매하기 위해 필요한 랜섬웨어와 관리 환경 또는 서비스형 랜섬웨어(RaaS)를 개발하는 것이다.

RaaS의 경우 진입 장벽이 저렴하고 거의 없는 반면 랜섬웨어 캠페인을 운영하기 위해 기술이 필요하다. 사실 (캠페인이 시작되기 전에 결정된) 대가 지불금을 깎기 위해 대부분의 랜섬웨어 개발자는 일정 수준의 사용자 정의 작업과 지원을 제공한다.

RaaS에는 신뢰하거나 검증된 고객(다른 확인된 범죄자가 있는 사람들은 보증을 제공한다.)과 일반 고객 등 두 가지 수준이 있다. 평판이 중요하다. 동료 범죄자들 중에서 명성이 높을수록 더 많은 돈을 벌 수 있다.

또한 대부분의 RaaS 제품은 광범위한 지표를 제공하여 효과와 수익에 따라 캠페인의 등급을 매길 수 있다. 이런 환경에서 랜섬웨어 작성자는 배포자와 달리 보호 받는 경향이 있다.

랜섬웨어 멈추기와 시장 죽이기
“랜섬웨어 공급망을 깨는 것과 관련하여 한 가지 희망이 있다면 방어하는 이들에게 이익이 있다는 점이다. 방어자가 체인의 연결고리 중 하나만 끊거나 중단할 수 있다면 공격 전체가 와해된다”라고 카본 블랙이 보고서를 통해 밝혔다.

“배포자와 운영자를 무너뜨리는 것은 문제의 꼬리를 좇는 것이다. 지하 랜섬웨어 경제에 타격을 입히기 위해서는 공급망 업스트림을 파괴하고 맬웨어 작성자의 유인을 바꾸기 위한 노력을 기울여야 한다. 공격자의 ROI를 낮춤으로써 방어자는 범죄의 재무적인 유인을 줄일 수 있다”라고 보고서는 전하고 있다.

핵심은 대가 지불을 멈추는 것이다. 이것인 랜섬웨어 시장에서 중요한 부분 중 하나다. 캠페인을 운영하는 사람들은 대가를 지불할 가능성이 높은 지리적 위치와 조직 유형에 노력을 집중하기 마련이다.

이번 달 초 솔티드 해시(Salted Hash)는 단순히 적절한 시험과 관리를 거친 백업을 확보함으로써 랜섬웨어 문제를 극복한 한 관리자를 조명한 있다. 카본 블랙의 릭 맥엘로이는 “파일과 시스템 백업, 복원 시험, 패치, 적절한 기업 측면의 시인성 확보, 레거시 백신 등의 오래된 방지 조치 [업데이트] 등 기본적인 차단과 보안 조치를 제대로 취하지 못하는 경우가 많다”라고 말했다. ciokr@idg.co.kr 

X