Home > 전체기사
넷워커 랜섬웨어, 사업 모델 바꾸더니 순식간에 수익 불어나
  |  입력 : 2020-08-05 16:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3월부터 RaaS로 전환해 운영…그랬더니 전성기 맞으며 높은 수익 거둬
많은 공격하기 보다 돈 많이 낼 만한 표적 공격…5개월 만에 3천만 달러 수익


[보안뉴스 문가용 기자] 작년에 등장한 넷워커(NetWalker)라는 랜섬웨어의 2020년 행보가 심상치 않다. 올해 3월부터 지금까지의 수익이 3천만 달러에 육박할 정도라고 한다. 넷워커는 작년 8월 처음 탐지된 랜섬웨어인데, 운영자들이 이를 ‘서비스형 랜섬웨어(RaaS)’로 전환하면서 새로운 전성기를 맞이하게 되었다고, 그래서 그런 놀라운 수익을 거둔 거라고 보안 업체 맥아피(McAfee)는 발표했다.

[이미지 = utoimage]


맥아피가 조사한 바에 의하면 넷워커 RaaS는 몇 가지 특징을 가지고 있다고 한다.
1) 공격의 양보다 질을 추구한다.
2) 러시아어를 하는 사람만을 고객으로 삼는다.
3) 그 중에서도 내규모 네트워크에 대한 경험이 풍부한 사람만을 찾는다.
4) 그 중에서도 이미 표적의 네트워크에 침투해 있으며, 데이터를 유출할 수 있는 상태인 사람들을 선호한다.

이런 까다로운 파트너 선정 때문인지 넷워커 멀웨어는 현재까지 유럽과 북미의 대형 조직들의 보안 사고와 연루되어 있는 게 보통이다. 다음 사건들이 특히 큰 화제가 되었다.
1) 호주의 대형 운송 회사인 톨 그룹(Toll Group)
2) 샌프란시스코 캘리포니아대학
3) 프랑스의 포시(Foresee)
4) 여러 정부 기관

지난 3월부터 넷워커 운영자들의 사업 기조에 변화가 생겼다. 부가티(Bugatti)라는 ID를 가진 자가 3월부터 넷워커의 RaaS 전환을 대대적으로 광고하기 시작했던 것이다. “이 부가티라는 인물은 사이버 포럼에서 꽤나 이름이 알려진 인물입니다. 랜섬웨어와 관련된 여러 가지 활동을 하는 것으로 보입니다. 랜섬웨어들 사이에서 자주 발견되는 메소드인 Invoke-ReflectivePEInjection을 향상시키고, 각종 랜섬웨어 사업자들과 파트너들을 이어주기도 합니다. 이런 사람을 넷워커 운영자들이 광고 및 홍보 활동에 활용한 것입니다.”

부가티는 당시 “일반 개개인의 엔드포인트보다 조직의 네트워크를 침투하는 데 익숙한 사람들을 파트너로 모시고 싶다”고 강조했었다. 랜섬웨어 산업의 최강자라고 분석되는 소디노키비(Sodinokibi), 메이즈(Maze), 류크(Ryuk) 모두 개개인보다 회사나 기관을 노리고 있었고, 이는 랜섬웨어 산업에서 일찌감치 자리 잡은 유행이기도 하다.

맥아피는 넷워커를 수사하는 과정 중에 한 포럼 메시지를 발견했다. 비트코인 주소 일부와 잔고 액수(달러)가 다수 적혀 있는 스크린샷이 첨부되어 있었다. 맥아피는 사이퍼트레이스(CipherTrace)라는 소프트웨어를 사용해 이 스크린샷의 주소를 완성시킬 수 있었고, 관련 장부를 계속해서 추적할 수 있었다. “비트코인 블록체인은 공개된 장부를 사용합니다. 즉 돈의 흐름을 쉽게 볼 수 있다는 것이죠.”

거래 기록을 좇다 보니, 한 거래가 조금 수상했다. 돈이 네 군데 비트코인 주소로 쪼개져서 전송된 것이다. RaaS 관련 거래에서 흔히 나타나는 패턴이기도 했다. 파트너들과 랜섬웨어 개발자들이 고루 돈을 나누기 때문에 나타날 수밖에 없는 현상이었다. 이 경우 돈은 80:10:5:5로 나뉘고 있었다. 이런 비율도 RaaS 구조에서 자주 나타난다.

이렇게 ‘랜섬웨어 공격’과 관련된 비트코인 거래 패턴은 3월부터 총 23번 나타난 것으로 기록됐다. 이를 추적해 랜섬웨어 운영자들의 것으로 강력하게 의심되는 비트코인 지갑 주소를 확보했고 여기에 총 2588 비트코인이 거래된 것을 확인할 수 있었다. 이는 현재 시세로 3천만 달러 정도에 해당한다.

넷워커는 단순히 사업 구조만 바뀐 것만으로 갑자기 전성기를 맞이한 것일까? 아니다. 다른 변화도 있었다. 피해자들과 연락을 할 때는 이제 넷워커의 토르 인터페이스를 통해서 하도록 유도한다. 여기서 사용자가 고유 키 번호를 입력하면 넷워커 기술 지원 센터와의 채팅이 가능하게 된다. 지원 센터는 피해자들에게 돈 내는 방법을 안내해준다.

또한 예전 비트코인 주소 대신 세그윗(SegWit) 주소를 사용하기도 했다. 세그윗 주소는 기존 비트코인 주소보다 거래를 빠르고 저렴하게 만들어준다고 한다. 넷워커 운영자들이 광고를 위해 강조하는 내용에 의하면 세그윗으로 바뀌며 완전 자동화 지불 시스템이 정착되었으며, 이 때문에 많은 시간과 ‘노력’을 아낄 수 있다고 한다. 맥아피는 “넷워커 운영자들이 랜섬웨어 쪽으로 스스로를 특화시키려고 마음을 먹은 것 같다”고 말한다.

RaaS 모델의 급격한 팽창과, 늘어나는 성공 스토리들은 랜섬웨어가 사이버 공격자들에 있어 부를 쌓기에 얼마나 좋은 도구인지를 보여준다. 이들은 지하 포럼을 통해 광고를 하며 고객을 유치하고, 조심스럽고 까다롭게 파트너십을 채결하며, 피해자들을 위한 ‘지원 센터’를 운영할 정도로 시스템화 되어 있다. 이 지원 센터를 통해 피해자들은 금액을 협상할 수도 있으며, 어려울 수 있는 암호화폐 거래와 관련된 도움을 받을 수 있다.

맥아피는 “RaaS는 수익을 보장해주는 모델이며, 랜섬웨어 쪽으로 특화하겠다는 공격 단체의 의지를 보여주는 지표”라고 설명하며 “레빌(REvil) 등 현존하는 대형 랜섬웨어의 성공 스토리가 많은 사이버 범죄자들에게 감동을 주는 모양”이라고 말했다. “지금도 계속해서 비슷한 수익 구조를 가진 후속주자들이 나오고 있고, 따라서 세상은 앞으로 더 많은 랜섬웨어에 시달리게 될 것입니다. 이렇게까지 시스템이 굳어진다면, 당분간 랜섬웨어가 끈덕지게 우리 삶에 달라붙을 것을 각오해야 합니다.”

3줄 요약
1. 넷워커, 3월부터 RaaS 구조로 사업 모델 전환.
2. 그 때부터 지금까지 거둔 수익이 3천만 달러.
3. RaaS의 성행은 앞으로 랜섬웨어 공격이 더 많아질 거라는 얘기.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)