[IT] 서비스형 랜섬웨어 ☞ 기술 없이도 돈만 있으면 저지를 수 있는 사이비 범죄 [Ransomware as a Service ]

[관리자]

용어로 보는 IT

서비스형 랜섬웨어

기술 없이도 돈만 있으면 저지를 수 있는 사이비 범죄

[Ransomware as a Service ]

요약   서비스형 랜섬웨어(RaaS)는 별도의 프로그래밍 전문지식이 없어도 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다. RaaS 제작자는 주로 다크웹과 같은 음지에서 사업을 벌인다. 제작자로부터 RaaS를 제공받은 공격자는 랜섬웨어 공격을 한 후 그 수익금을 제작자와 나눈다. RaaS로 인해 사이버 범죄는 분업화, 전문화됐고 사이버 범죄를 저지르게 되는 문턱도 낮아졌다.

---

약어   Raas

---

목차

1. 서비스로 진화한 랜섬웨어
2. 케르베르(Cerber)
3. 사탄(Satan)
4. 스탬파도(Stampado)와 필라델피아(Philadelphia)
5. 샤크(Shark)와 아톰(Atom)
6. 애프터 서비스까지 제공

랜섬웨어를 손쉽게 제작해주는 서비스형 랜섬웨어가 등장하여 누구나 손쉽게 사이버 범죄를 벌일 수 있게 됐다.

서비스로 진화한 랜섬웨어

2017년 상반기 전 세계를 강타한 랜섬웨어가 서비스 형태로까지 진화했다. ‘서비스형 랜섬웨어(Ransomware as a Service · RaaS)’다.

RaaS를 이해하기 위해서는 먼저 랜섬웨어에 대한 개념을 잡아야 한다. 랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다. 일반적으로는 랜섬웨어 제작자가 곧 공격자였다. 그런데 RaaS가 등장하며 달라졌다. 제작자와 공격자가 따로 존재하게 된 것이다. 

랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤, 이를 풀어주는 대가로 금전을 요구하는 악성 프로그램이다.<출처: 트렌드마이크로>

RaaS 제작자는 공격자에게 랜섬웨어 코드를 제공한다. 제작자의 고객인 공격자는 랜섬웨어 공격을 통해 금전적 이득을 취하고 싶지만, 랜섬웨어를 제작할 기술적 역량이 없는 사람들이다. RaaS 제작자는 이들에게 랜섬웨어를 제공하고 랜섬웨어 공격으로 벌어들인 금전적 이득을 공격자와 나눠갖는다.

케르베르(Cerber)

케르베르 감염 노트.<출처: 한국랜섬웨어침해대응센터>

‘케르베르(Cerber)’는 2016년 3월 처음 발생해 아시아 · 태평양 지역을 주 무대로 널리 퍼진 RaaS다. 별명은 ‘말하는 랜섬웨어’다. 파일과 데이터를 암호화하고 ‘음성’으로 피해자에게 금전을 요구해 붙여졌다.

케르베르 주요 기능 및 동작 과정.<출처: 안랩 ASEC 블로그>

케르베르 제작자는 랜섬웨어를 서비스형으로 제작해 음지에서 활발한 RaaS 사업을 벌였다. 제작자로부터 랜섬웨어 코드를 사들인 범죄자들은 손쉽게 랜섬웨어를 유포시켰고, 그 수익의 40%를 케르베르 제작자와 공유했다. 케르베르는 삽시간에 퍼졌고, 피해는 막대했다. 2016년 하반기 한국인터넷진흥원에 접수된 랜섬웨어 피해사례의 52%가 케르베르 랜섬웨어였다는 점이 이를 보여준다. 돈만 있으면 누구나 손쉽게 사이버 범죄를 벌일 수 있게 됐다. 

사탄(Satan)

돈 없이도 랜섬웨어 공격을 벌일 수 있는 RaaS 형태도 있다. 또 다른 RaaS 사례인 ‘사탄(Satan)’이다.

사탄 랜섬웨어 서비스 대시보드.<출처: 하우리>

제작자는 별도 비용을 받지 않고 사탄 랜섬웨어 코드를 공격자에게 제공한다. 공격자는 기술적 능력, 비용 없이도 랜섬웨어 공격을 개시할 수 있다. 사탄은 개인용 컴퓨터(PC)에 존재하는 파일들을 ‘.stn’이라는 확장자로 암호화한다. 피해자가 데이터를 복구하기 위해서는 랜섬웨어 감염 노트가 유도하는 몸값을 지급해야 한다. 공격자는 피해자가 이를 지급하면 그 금액의 30%를 제작자에게 수수료로 낸다. 돈만 있으면 손쉽게 사이버 범죄를 벌일 수 있는 데서 나아가 돈과 기술 없이도 사이버 범죄를 벌일 수 있게 된 것이다. 범죄의 문턱은 더욱 낮아졌다. 

스탬파도(Stampado)와 필라델피아(Philadelphia)

‘가격경쟁력’을 내세운 RaaS도 있다. ‘스탬파도(Stampado)’와 ‘필라델피아(Philadelphia)’다.

스탬파도는 2016년 7월 처음 발견됐다. 제작자는 단돈 39달러를 받고 공격자에게 스탬파도 악성코드를 제공한다. 스탬파도는 안티바이러스 제품의 탐지망을 피하는 기능도 가지고 있다. 또한 케르베르 등 다른 랜섬웨어에 감염돼 암호화된 파일을 다시 암호화하는 방식이 적용됐다. 

필라델피아는 스탬파도의 변형으로 알려졌다. 스탬파도가 발견되고 2달 뒤인 2016년 9월에 처음 발견됐다.

샤크(Shark)와 아톰(Atom)

아톰.<출처: 포티넷>

‘샤크(Shark)’와 ‘아톰(Atom)’은 수익의 20%를 요구하는 RaaS다.

샤크는 2016년 8월 발견됐다. 주로 토르(Tor)를 이용한 다크웹에서 거래되는 다른 RaaS와 달리, 워드프레스를 이용해 정보를 제공한다. 아톰은 샤크의 변형으로, 2016년 9월 발견됐다. 샤크의 제작자가 아톰을 제작한 것으로 알려져 있다.

애프터 서비스까지 제공

RaaS 제작자들은 범죄자인 고객들에게 다양한 편의를 제공한다. 제작 뿐 아니라 유포 이후 진행 상황을 추적하는 고객 서비스, 업데이트 서비스도 제공하는 식이다. 일례로 케르베르 제작자는 2016년 한 해 동안 10번이 넘는 버전 업데이트를 진행했다. 이 때문에 보안 업체들이 애를 먹은 바 있다. 

참고링크

• Lucian Constantin, 『말하는 케르베르 랜섬웨어, 서비스 형태로 범죄자들에게 판다』, (IT월드, 2016.03.07)
• 진정호, 『<시사금융용어> 서비스형 랜섬웨어(RaaS)』, (연합인포맥스, 2017.05.25)
• 임민철, 『”기술 몰라도 공격” …서비스형 랜섬웨어 비상』, (지디넷 코리아, 2016.08.17)
• 『서비스형 랜섬웨어 사탄 감염 주의』, (바이로봇, 2017.01.26)
• 박정은, 『기술 없어도 ‘랜섬웨어’ 범죄 참여…하우리, RaaS ‘사탄’ 주의보』, (전자신문, 2017.01.24)
• ASEC대응팀, 『최신 랜섬웨어 동향분석 보고서』, (안랩, 2017.01.26)

발행일 : 2017. 08. 16.

제공처 정보

     

• 글 한수연 블로터 기자

• 제공 블로터      

[네이버 지식백과] 서비스형 랜섬웨어 [Ransomware as a Service] - 기술 없이도 돈만 있으면 저지를 수 있는 사이비 범죄 (용어로 보는 IT)