[디지털데일리 최민지기자] 카스퍼스키랩(www.kaspersky.co.kr, 이창훈 지사장)은 지난해 발견한 62개 새로운 암호화 랜섬웨어 중 최소 47개는 러시아어를 사용하는 사이버 범죄자들에 의해 개발된 것으로 드러났다고 16일 밝혔다.

카스퍼스키랩 연구진들의 보고서에 따르면 제한적인 능력만을 가지고 있던 소규모 랜섬웨어 조직들이 날이 갈수록 전세계의 개인 사용자들 및 기업들을 공격할 수 있는 수단을 갖춘 거대 범죄 조직으로 성장하고 있다.

암호화 랜섬웨어는 피해자의 파일을 암호화한 후 이를 푸는 데 대가를 요구하는 악성코드의 일종으로, 오늘날 악성코드 중 가장 위협적인 종류 중 하나다. 카스퍼스키랩의 원격 분석 결과 지난해 기업을 포함해 전세계 144만5000명 이상의 사용자가 암호화 랜섬웨어 공격을 받았다.

이러한 공격의 특성을 보다 심층적으로 파악하기 위해 카스퍼스키랩의 연구진들은 러시아어를 사용하는 지하조직들에 대한 개괄적인 조사를 진행했다. 그 결과 최근 몇 년 사이 암호화 랜섬웨어 공격이 급증한 원인은 바로 유연하고 쉽게 이용할 수 있는 지하조직 생태계 때문인 것으로 밝혀졌다.

이로 인해 범죄자들이 별다른 기술이나 자본 없이도 손쉽게 암호화 랜섬웨어 공격을 할 수 있었던 것. 랜섬웨어 산업에 연루된 범죄자들은 ▲새로운 랜섬웨어 개발 및 업데이트 ▲랜섬웨어를 유포시킬 협력 프로그램 개발 및 지원 ▲파트너로 협력 프로그램에 참여하는 방식으로 구분된다.

새로운 랜섬웨어의 개발 및 업데이트를 하기 위해서는 고급 코드 개발 기술이 필요하다. 이 단계에 있는 사이버 범죄자들은 전체 랜섬웨어 생태계에서 가장 중요한 요소인 랜섬웨어를 개발하는 역할을 맡은 만큼 전체 조직에서 가장 중요한 사람들이다.

협력 프로그램 개발자들은 익스플로잇 키트, 악성 스팸 등 다양한 도구를 사용해 랜섬웨어 개발자들이 내놓은 랜섬웨어를 유포하는 역할을 맡는다. 협력 프로그램 파트너들은 각종 방법을 동원해 협력 프로그램 소유자들이 랜섬웨어를 유포하는 것을 돕고 그 대가로 협력 프로그램 소유자들이 받는 수익 일부를 지급받는다.

카스퍼스키랩의 추산에 따르면 이러한 협력 프로그램 한 개로 벌어들이는 하루 총수입은 수천 달러에서 많게는 수십만 달러에 이르고, 범죄자들은 약 60% 정도를 순수익으로 얻는다.

또한, 지하 조직 생태계 및 사건 대응 활동에 대한 조사 과정에서 카스퍼스키랩의 연구진들은 전문적으로 암호화 랜섬웨어를 개발 및 유포하는 러시아어 사용 범죄자들로 구성된 대규모 조직을 다수 발견했다. 이러한 조직들은 수십 명에 달하는 파트너를 연합할 수 있으며, 각 파트너는 고유한 협력 프로그램을 보유하고 있다.

이들은 일반 인터넷 사용자들뿐 아니라 여러 중소기업과 대기업들까지 공격 목표로 삼고 있다. 초기에는 러시아 및 독립국가연합(CIS)의 사용자들과 기업들을 공격 대상으로 삼았던 이들 조직은 최근 목표를 확장해 전세계 곳곳의 기업을 노리고 있습니다.

이창훈 카스퍼스키랩코리아 지사장은 “랜섬웨어 조직들이 날이 갈수록 강력해지고 있는 만큼 이들 조직에 대해 최대한 많이 파악하는 것이 일반 대중들과 보안 커뮤니티들을 위해서 매우 중요하다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr