개인 및 기업들의 랜섬웨어 피해가 계속되고 있는 가운데, 구글에서는 랜섬웨어에 감염된 파일을 복구하기 위해 지불한 프로세스를 추적하였습니다.
구글은 랜섬웨어에 감염된 파일에서 네트워크 흐름을 모니터링하여 해커가 사용한 비트코인(BitCoin) 지갑을 찾아내고, 거래 이력을 조회하는 방법을 시도하였습니다.
구글 연구소가 조사하고 발표한 자료에 따르면, 랜섬웨어 피해자들은 지난 2년 동안 2,500만(약 282억) 달러 이상의 비용을 해커에게 지불한 것으로 밝혀졌습니다.
랜섬웨어는 최근 몇 년 동안 피할 수 없는 위협이 되고 있으며, 시스템이 감염되면 모든 로컬 파일을 공격자가 보유한 개인 키로 암호화하여 비트 코인으로 복구 비용을 요구합니다. 짧은 시간에 컴퓨터 사용자에게 큰 피해를 주고, 수익성을 요구할 수 있어 해커들 사이에서는 ‘돈되는 인기 사업’으로 알려져 있습니다.
구글 연구소는 34개 랜섬웨어 제품과 30만개 파일을 추적했으며, 그 중에서도 수익성이 높은 몇 가지 랜섬웨어를 요약하였습니다.
- 1위 록키(Locky) 780만 달러 (약 88억)
- 2위 케르베르(Cerber) 690만 달러 (약 77억)
- 3위 크립토락커(CryptoLocker) 200만 달러 (약 22억)
- 4위 크립트 XXX(Cryp XXX) 190만 달러 (약 21억)
록키(Locky)는 최초의 랜섬웨어로 암호화, 지불, 배포 그룹을 분리한 것이 특징입니다. 악성 소프트웨어 구축과 인프라 자원을 중점으로 육성한 다음, 다른 봇넷(좀비 PC)를 확산시켜 랜섬웨어를 빠르게 배포하였습니다.
케르베르(Cerber), 크립트(CryptXXX)는 록키(Locky)와 유사한 패턴으로 배포하여 각각 690 만 달러와 190 만 달러의 몸값을 받아냈습니다. 이 중에서 케르베르(Cerber)는 년간 20만 달러(약 2억 2천)의 수익을 창출하고 있는 추세입니다. 랜섬웨어별 금액은 피해자가 지급한 총 금액이며, 이 중에 얼마가 랜섬웨어 개발자에게 돌아갔는지는 파악하기 어렵습니다.
랜섬웨어는 동일한 데이터를 기반으로 하여도, 한 달에 수천 개의 새로운 패턴을 만들고 발전시켜 바이러스 백신 프로그램 보다 빠르게 진화하고 있습니다. 그 중 일부는 백신 프로그램에 검색되면 자동 변형을 일으켜 따돌리기도 합니다.
랜섬웨어 수익율 그래프를 보면 2016년부터 급속도로 상승하고 있으며, “Ransomware”라는 용어 검색도 2016 년 이후 877% 증가했다고 발표하였습니다.
연구원들은 랜섬웨어로 인한 피해자 커지는 이유에 대해 ‘랜섬웨어 자체가 변종이 생기고 진화하기도 하지만, 다수의 컴퓨터 사용자들이 데이터 백업(약 37%만 백업 관리)을 소홀히 하였기 때문이다’며 데이터 백업의 중요성을 강조하였습니다.