안녕하세요, IT 보안 연구를 하는 @StolenByte 입니다.

이번엔 랜섬웨어하면 비트코인, 비트코인하면 랜섬웨어.
바로 그 랜섬웨어와 랜섬웨어를 통해 발생되는 코인과 보안의 인식에 대해 알아보겠습니다.

랜섬웨어?

Ransom(몸값) + Ware (제품) = 몸 값을 요구하는 제품 이란 뜻의 악성코드 입니다.
역사적으로 랜섬웨어는 최근에 나타난 것이 아니고, 과거 90년대부터 있었습니다.
하지만, 잠시 사장되었다가 다시 나타나게 되었는데 이것은 즉슨 금융시장의 변화라고 할 수 있습니다.

시장의 변화?

전적으로 저의 생각입니다.

90년대까진 금융시스템의 전산화가 잘 갖춰지지 않았습니다.
불법적으로 획득한 자산에 대해 세탁 같은 행위가 쉽게 가능했을 것이라 봅니다.
하지만, 요즘은 아니죠?? 요즘은 왠만한 파워(?)를 가지지 않고선 저런짓해다가 바로 잡힌다는 것을 대부분 알고 계실겁니다.

그러다가 비트코인이 탄생했습니다.
아시는 분들은 아시겠지만 지금의 비트코인이 있기까지 시작한 것은 불법입니다.
무기거래, 마약거래, 불법자금, 불법해킹Exploit 등 불법유통으로 시작했습니다.

랜섬웨어들도 비트코인을 이용하기 시작했고, 몸 값을 비트코인으로 받으면서 추적을 피하기 시작했습니다.
하지만 비트코인도 결국 추적이 가능합니다. 왜냐하면 블록체인을 사용하기 때문인데, 과거에는 이러한 추적시스템이 갖춰지지 않아서 추적이 불가능했던 것이 오늘에 일러 "비트코인으로 거래하면 추적이 불가능하다." 라고 알려진 것으로 보입니다.

그래서 비트코인을 세탁하는 곳도 생겼죠. 결국 현금으로 거래하는 것보다 비트코인으로 거래하는 것이 시세 면으로 봐도 좋고 추적을 피할 가능성도 높아졌기 때문에 랜섬웨어가 활동하기 딱 좋아진 시기입니다.

사건

국내 상당히 오래된 호스팅 업체인 "인터넷 나야나" 라는 업체가 대규모 랜섬웨어에 감염되었습니다. 랜섬웨어는 고유의 이름을 가지고 있는데 이번 랜섬웨어는 "Erebus" 라는 랜섬웨어입니다.

이 랜섬웨어의 특징은 대부분 Windows 시스템을 노리는 반면, Linux 시스템을 노렸습니다.
IT 전공자 + 기타 관심 있는 사람 아니면 Linux 써보지도 들어보지도 못하신 분들이 많으실텐데요.

Linux? 시스템 자체가 Windows에 비해 가볍고 서버의 용도로 활용할 수 있는 기능이 많아서 웹 서버와 같은 서버의 용도로 많이 사용합니다.

해당 업체로 Linux를 이용하여 사용자에게 호스팅 서비스를 하고 있었습니다.

하지만 업체에서 셋팅한 Linux에는 크나큰 결함을 가지고 있었습니다. 공격자는 그 크나큰 결함을 알아채고 그 결함을 통해 업체가 가지고 있는 153대의 Linux 서버에 랜섬웨어를 설치합니다.

그리고 그날 새벽, 업체에서는 랜섬웨어가 설치 됨을 확인하고 공지를 내렸죠.
아마 엄청난 문의전화에 시달리고서야 알아차렸을 겁니다.

업체에서 호스팅 받으며 서비스를 제공하던 모든 업체는 강제 서비스중단이 되었고 아비규환이 되었습니다.

최초 요구사항은 각 리눅스 서버 당 10비트코인(한화 32,710,000원)이였고 다음날 요구사항은 2017년 6월 14일 23시 59분까지 각 리눅스 서버 당 5.4비트코인(한화 17,550,000원) 이였습니다.

해외 랜섬웨어를 통해 발생되는 사건은 국내 경찰이나 KISA에 제보를 하여도 잡아낼 수 있는 가능성이 희박합니다. 그래도 업체 입장에서는 큰 손실을 입지 않기 위해인지 계속 협상을 시도 했으나, 호스팅을 받으며 서비스 하던 이용자는 날벼락을 맞은 상태이며 이것은 업체의 보안상 책임이 명백한 상태이죠.

여러가지 법적 책임은 둘째 치고 명확하게 서비스 재개에 대해 확실히 보장을 해야하는데 지지부진한 상태에 이용자들의 원성은 극에 달했지만 결국 해결이 되지 않자 법적 소송도 불사하겠단 말도 나왔습니다.

이렇게 몇일이 흐르고 업체의 대표가 글을 적었습니다.

내가 운용할 수 있는 자산 4억과 지분 매각을 통한 8억으로 12억으로 최종 협상하겠다.

라는 말과 함께 공격자와 대화한 내용을 올렸습니다. 전문 보기

처음에 50억이였던 금액이 12억까지 내려왔습니다. 아마 공격자는 받을 수 있는 최고까지 받으려고 말도 안되는 수준까지 올린 후 조금씩 내리는 수법을 사용한 것으로 보입니다.

결국 12억에 공격자와 합의를 보고 모든 암호화 된 파일을 풀 수 있는 키를 받기로 했지만, 역사상 가장 안좋은 선뢰를 남기기도 했습니다.

2017년 상반기 IT 보안 사고 중 가장 큰 사고로 기록될 것 입니다.

마무리

이 처럼 코인을 모르는 사람이 이 사건을 바라보면 "비트코인이란 것이 이렇게 활용 되구나?" 라고 느끼게 됩니다.
가까운 지인도 "비트코인 위험한거 아냐? 계속 뉴스에 범죄와 연관 되던데?"
스팀잇을 하시는 분들은 가상화폐의 미래와 스팀의 미래를 보고 하시지만 이러한 사건으로 인해 관심 없던 사람들은 더욱 멀어지게 되는 것 같습니다.
스팀잇 같은 좋은 문화를 만들어가는 반면 다른 한편으론 악의적으로만 사용이 되고 그렇게 인식이 됨이 참으로 안타까울 뿐입니다.
사람에게는 좋은 것보다 나쁜 것이 잘 인지되고 인지된 것은 변화하기 힘들다라고 생각 듭니다.

그리고 이러한 사건을 계기로 보안이란 것은 하면 이득과 손해는 없지만 하지 않으면 손해만 있다는 것을 알 수 있습니다.

사건의 업체에 랜섬웨어가 심어지게 된 취약점은 2000년 초반부터 취약점이 발생되었던 프로토콜이기 때문에 관리의 중요성을 요구 했던 프로토콜 입니다. 하지만 관리를 제대로 하지 못한 까닭에 결국 12억이란 물질적 손해와 153대에 서비스 받던 여러 이용자의 외면을 받게 되었지요.

보안에는 착한 보안과 나쁜 보안이 있습니다.
착한 보안은 실적으로 득이 될 것은 없지만 최소한의 손해는 보지 않기 위해 미리 준비 하는것 입니다.
나쁜 보안은 이미 손해를 보고 다시는 이러한 일이 발생되지 않기 위해 준비하는 것입니다. 한마디로 소 잃고 외양간 고치는 격이죠.

여러분들은 과연 무엇을 선택할 것 입니까?