[해외보안동향] '크립토락커'와 악명 높은 봇넷 '게임 오버'...드디어 끝나는가?

Has CryptoLocker been cracked? Is Gameover over?

'크립토락커'와 악명 높은 봇넷 '게임 오버'...드디어 끝나는가?

가장 악명 높은 봇넷 중 하나로 알려진 ‘게임 오버’, 또는 ‘게임 오버 제우스’는 아무 죄 없는 사용자 컴퓨터의 모든 권한을 은밀히 제어하여 이를 거대한 사이버 범죄를 수행하는데 이용해왔습니다.

‘게임 오버’의 가장 잘 알려진 범죄 수법은 사용자가 컴퓨터를 이용하여 금융 거래를 할 때 이로부터 정보를 갈취하는 트릭일 것입니다. 또한 멀웨어가 활성화 되면 사용자가 입력하는 계정 명, 비밀번호 등의 개인정보를 갈취하며, 심지어 은행 측에서 전송하는 OTP를 중간에서 갈취하는 것도 가능할 수 있습니다.

일단 정보를 가로채게 되면 해커들은 이를 사기 거래에 빈번히 이용합니다. 어림잡아 수백, 수천 대의 컴퓨터가 ‘게임 오버’ 봇넷에 감염이 되었고, 해커들은 이를 이용하여 수백만 달러의 부당 이익을 취했습니다.

이와 관련하여 미 법무부에서는 범죄자들이 ‘게임 오버’를 이용하여 미국 내에서만 1억 달러 이상의 수입을 올렸다고 발표하였습니다. 또한 ‘게임 오버’에게 돈을 잃은 미국 사용자들이 전세계 유저들의 고작 25% 밖에 되지 않을 것으로 예상되며, 전 세계 유저들의 피해액은 대략 5억 달러 가량 될 것으로 추산하고 있습니다.

하지만, 이것으로 끝난 것이 아닙니다.

※ 크립토락커의 위협

크립토락커는 전형적인 랜섬웨어(Ransomware)로, 사용자의 모든 데이터를 암호화 하여 열람할 수 없게 만들어 버린 후, 3일 내로 300달러를 지불하면 암호화 된 파일을 해독할 수 있는 키(key)를 제공하는 악성코드입니다.

과거에는 랜섬웨어로 인하여 암호화 된 파일을 해독할 수 있는 경우가 종종 있었는데, 이는 해커가 사용자의 컴퓨터에 암호 해독 키의 임시 복사본을 남기거나, 사용자의 파일을 암호화 한 후 이의 오리지널 파일을 삭제하는 것을 깜빡하는 등의 실수로 인해 랜섬웨어를 역으로 해킹할 수 있었기 때문에 가능했습니다.

하지만 크립토락커는 이러한 실수도 허용하지 않았습니다. 감염된 컴퓨터가 home을 크립토락커의 서버로 호출하면 해커들은 서버에 Public, Private의 RSA키 페어를 생성합니다. Public Key로는 암호화를, Private key로는 이를 해독할 수 있습니다. 또한 유저가 Public Key를 이용하여 Private Key를 산출해 내는 것은 수학적으로 불가능합니다.

따라서 해커들은 사용자의 컴퓨터로 Public key를 보내고, 멀웨어는 유저의 파일들을 암호화합니다. Private key는 사용자의 컴퓨터에도 하드 디스크나 메모리에도 존재할 수 없게 됩니다.

만약 사용자가 파일 백업을 해놓지 않은 상태인 경우, 암호화 된 파일의 해독을 하기 위해서는 해커로부터 Private key를 구매하는 방법 밖에는 없습니다. 미 법무부는 멀웨어가 신고되기 시작한 첫 두 달인 2013년 9 ~ 10월에만 크립토락커로 인해 2,700만불 가량의 피해를 입은 것으로 추산했습니다. 또 다른 피해사례로는 영국의 Kent 대학교에서 실시한 설문에서 30명 중 한 명의 영국 사람들이 크립토락커의 공격을 받았으며, 이 중 40%가 Private key를 위한 ‘검은 돈’을 지불한 것으로 확인되었습니다.

※ ‘게임 오버’와 ‘크립토락커’?

위의 두 멀웨어는 자주 함께 회자되는데, 그 이유는 ‘게임 오버’가 이를 실행하는 컴퓨터에 크립토락커를 업로드 하도록 명령하기 때문입니다. 다른 말로 표현하자면, ‘게임 오버’를 이용하여 유저의 모든 정보를 갈취하였다고 판단되는 즉시 ‘크립토락커’를 업로드 하여 300달러를 요구하게 된다는 이야기입니다. 앞서 말한 Kent 대학의 설문 결과로 봤을 때 이는 영국에서만 40%의 성공률을 보였으며, 이는 꽤 짭짤한 사기극이었습니다.

※ 체포 작업

그러나 반가운 소식이 있습니다. 법무부에서 드디어 이 두 악성코드와 관련된 범죄자들을 기소했음을 발표했습니다. 미 범죄수사 기관의 그간 수사 내용을 요약해보면 아래와 같습니다. 

2014년 5월 7일: 우크라이나 정부와의 협력으로, 키예프와 도네츠크에 있는 ‘게임 오버’의 커맨드 서버의 압수 및 서버 데이터를 복사하는데 성공하였습니다. 만약 봇넷의 코어 서버가 '다음에 할 일'을 좀비 PC에 내려주지 않는다면, 봇넷은 심각하게 방해를 받을 것입니다.

2014년 5월 19일: 악성코드를 유포하여 파일을 암호화한 중 범죄 혐의로 러시아인 보가체프(Slavik, Pollingsoon으로도 불림)를 기소하였습니다.

2014년 5월 28일: 보가체프와 다른 네 명의 이름이 밝혀지지 않은 공모자들은 ‘게임 오버’의 트래픽을 해당 법원이 지정한 서버로 리다이렉트 할 것을 민사 법원 명령 받게 되었습니다. 또한 FBI를 비롯한 수많은 미국 및 유럽의 기관들과 협력하여 봇넷을 제어하는 인프라의 코어 서버를 알아낼 것이며, 캐나다, 프랑스, 독일, 룩셈부르크, 네덜란드, 우크라이나 및 영국에 있는 서버를 압수하기 위한 역추적을 시행할 예정입니다.

또한 크립토락커를 운영하는데 사용되는 매우 중요한 서버들도 함께 압수되어 크립토락커를 이용한 사기 범죄 행위에 큰 데미지를 입힐 수 있었습니다. 만약 유저의 컴퓨터가 Public key를 얻기 위해 'home'을 호출하는데 실패한다면 크립토락커는 더 이상 유저의 데이터를 암호화 할 수 없으며, 유저가 피해를 입기 전에 악성코드를 찾아내어 치료할 수 있는 시간을 줍니다.

※ 결속력이 힘이다.

미 법무부는 이를 수행하는데 투입된 전 세계의 기관 목록은 아래와 같이 공개했습니다.

호주 연방 경찰, 네덜란드 하이테크 범죄 수사 기관; 유럽 사이버 범죄 센터(EC3); 독일 연방 경찰; 프랑스 사법 경찰; 이탈리아 경찰 및 우편 및 통신국; 일본 경찰청; 룩셈부르크 경찰; 뉴질랜드 경찰; 캐나다 기마경찰; 우크라이나 내무부 사이버 범죄 퇴치 본부; 영국 범죄 수사관; 미국 국방 범죄 수사부;

 “그냥 경찰들이 범인의 집을 포위해서 체포하고 전부 다운시키면 안될까?” 라는 의문을 가진 사람이 있다면, 위 참여 기관 리스트가 범죄 규모를 추측하는데 대한 대답이 될 것입니다.

※ 다음에 할 일은?

다음 단계는 우리 모두에게 주어진 임무입니다. 바로 게임 오버와 크립토락커에 의하여 감염된 좀비PC를 치료하여 아직 파괴되지 않은 나머지 봇넷을 해체하는 것입니다.

 

미국 국토안보부 컴퓨터 긴급 대응팀(US-CERT)에서는 사용자의, 또는 사용자의 가족이나 친구의 컴퓨터에서 이를 치료할 수 있는 무료 프로그램의 리스트를 공개했습니다. 사용자 스스로 컴퓨터의 악성코드를 제거하려는 노력을 하지 않는다면, 당신은 해결책의 한 부분이 아니라 문제의 한 부분이 될 뿐입니다.

출처:

naked security

http://nakedsecurity.sophos.com/2014/06/03/has-cryptolocker-been-cracked-is-gameover-over/

* 해당 블로그 포스트는 공식적으로 인용 허가를 받았습니다.