서비스형 랜섬웨어(RaaS) ‘케르베르(Cerber)’의 실체가 드러났다. 케르베르는 공격그룹의 연 수입은 230만달러 약 25억 8000만원에 이르며 하루 평균 8건의 새로운 활동을 개시한다. 7월 한 달 동안 케르베르로 인한 피해가 201개국 15만명에 이른다.
이는 체크포인트가 24일 발표한 케르베르 조사결과 보고서에 따른 것으로, 체크포인트는 케르베르를 통해 서비스 방식으로 제공되는 랜섬웨어(RaaS) 산업을 분석했으며, 공격자들이 요구하는 돈을 지급하지 않고 암호화된 파일에 도달하는 접근 경로를 공개했다.
체크포인트 위협 지능 및 연구팀과 인트사이트 사이버 인텔리전스와 함께 진행한 이 보고서에서는 케르베르의 감염율은 상당히 높은 편이고, 수익율도 높다고 밝혔다 케르베르는 전 세계적으로 160건 이상의 캠페인을 진행하고 있으며, 하루 평균 8건 정도의 새로운 활동을 개시한다. 7월에만 201개국에서 약 15만명의 피해자가 발생했으며, 연수입은 대략 230만 달러에 이르는 것으로 추정된다.
케르베르는 비트코인을 사용하고, 피해자로부터 돈을 수신하는 데 특화된 독특한 월렛(wallet)을 사용해 깔끔하게 돈세탁을 한다. 피해자가 비트코인을 보내면 ‘여러 서비스’를 거쳐 멀웨어 개발자한테 전달한다. 이 과정에서 사용되는 여러 서비스에 수만 개의 비트코인 월렛이 연루돼 있어 추적이 불가능하다. 이렇게 세탁된 돈이 개발자에게 들어가면 관련 조직이 일정 비율로 수수료를 나눠 갖는다.
케르베르는 RaaS 서비스가 랜섬웨어 시장에 새로운 비즈니스 모델로 자리잡았다는 사실을 보여주는 대표적인 예로, 체크포인트는 ‘잠재 해커의 관문’이라고 표현했다. 기술 지식이 없는 개인과 집단이 서비스를 이용해 고수익 랜섬웨어 사업에 참여하게 하며, 독립적으로 캠페인을 운영할 수 있게 한다. 이 과정에서 배정된 C&C 서버와 12개의 언어가 가능한 편리한 제어패널을 사용한다.
체크포인트와 인트사이트는 케르베르가 개발한 복잡한 시스템 맵과 글로벌 유통 인프라스트럭처를 파악해왔다. 연구원들이 실제 피해자 월렛을 생성할 수 있었기 때문에 프로젝트팀은 지불과 거래상황을 모니터할 수 있었고, 이에 따라 멀웨어와 돈의 흐름으로 확보된 수입을 추적할 수 있게 됐다.
이렇게 파악한 정보는 암호해독 툴의 청사진을 제공했고, 이를 통해 피해자 또는 피해기업들은 사이버 범죄자의 랜섬요구에 굴복하지 않고 감염된 시스템을 치료할 수 있었다.
체크포인트 연구 및 개발 부문의 마야 호로비츠(Maya Horowitz) 그룹 매니저는 “이번 조사로 커져가는 랜섬웨어 서비스 산업의 특성과 전세계 공격 대상에 대해 파악할 흔치 않은 기회를 가졌다”며 “사이버 공격은 이제 국가 단위의 활동가나 본인의 툴을 자체적으로 만들 수 있는 기술역량을 가진 자들만의 전유물이 아니라, 누구나 접근가능하며 상당히 쉽게 운영할 수 있어 매우 빠른 속도로 확장되고 있다. 우리는 이러한 상황에 적절한 주의를 기울이면서 관련 보호기제를 구현해야 할 것”이라고 말했다.
