"140만원에 피싱도구 팝니다"…랜섬웨어 장사 나선 해커들

악성코드·탈취도구 140만~330만원에 판매…1회 60만원짜리까지
SK쉴더스 "텔레그램·메일 전파 미확인 첨부파일 실행 금지"

사이버볼크 그룹 공격 페이지(위)와 랜섬웨어 판매 글 초기버전과 최신버전(SK쉴더스 EQST 인사이트 보고서 갈무리)

(서울=뉴스1) 김민석 기자 = 랜섬웨어(악성 소프트웨어로 데이터 암호화 공격)와 서비스형 피싱 공격(PhaaS)이 갈수록 고도화하면서 정보 탈취 도구를 팔아 부당 수익을 챙기는 해커 조직들까지 등장하고 있다.

10일 SK쉴더스의 화이트해커그룹 EQST(이큐스트)에 따르면 '사이버폴크'(CyberVolk)라는 이름으로 알려진 해킹 조직은 올해 7월부터 텔레그램을 통해 '양자 저항 알고리즘'을 적용한 렌섬웨어를 1000달러(약 140만 원)에 판매하고 있다.

양자 저항 알고리즘은 연산 속도가 빠른 양자 컴퓨터를 사용해도 키 없이 해독하기 어려운 암호화 알고리즘을 말한다.

사이버폴크가 판매 중인 도구는 간단한 소스코드 형태인데다 암호화폐 지갑·시스템 정보 탈취 기능도 제공하고 있어 악용 가능성이 크다.

사이버폴크 랜섬웨어 공격 개요(SK쉴더스 EQST 인사이트 보고서 갈무리)

사이버폴크는 랜섬웨어 감염시 파일을 임의로 복구하는 것이 불가능하고 특정 키를 입력하지 않을 시 모든 파일을 손상시키는 수법을 쓴다.

실제로 PC가 랜섬웨어에 노출되면 모든 수행을 멈춘 후 금전을 요구하는 팝업 창이 뜬다. 일정 시간 후 모든 파일은 암호화되고 이를 복구하려면 정해진 키를 입력해야 한다. 해당 키 입력하지 잘못하면 파일을 복구하기 쉽지 않은 것으로 전해졌다.

사이버폴크는 기존 '글로리아미스트 인디아'(GLORIAMIST INDIA)라는 이름으로 텔레그램에서 활동하던 해커 조직으로 정치적 목적의 디도스(DDoS·분산 서비스 거부) 공격을 벌여왔다.

그러다 올해 6월 사이버폴크로 이름을 변경한 후 수익을 목적으로 한 정보 탈취 도구 판매에 나서고 있다.

해커조직 ConTFR 랜섬웨어 판매 형태(SK쉴더스 EQST 인사이트 보고서 갈무리)

사이버폴크 외 'ContFR'이라는 해커 조직도 PDF 파일 형식으로 윈도·맥OS 버전 랜섬웨어를 판매하고 있다.

판매 형태는 총 3가지로 각 가격은 테스트 버전(30일 사용·1 회 수정)은 400유로(60만 원), 기본(BASIC) 버전(6 개월·랜섬웨어 변종 10개)은 1200유로(180만 원), 엘리트(ELITE) 버전(1 년·무제한 변종 생성·채팅 기능 지원)은 2200유로(330만 원) 등이다.

전문가들은 랜섬웨어 감염시 개인·금융 정보 유출 피해뿐 아니라 심각할 경우 국가적 네트워크 마비 사태가 발생할 수 있다고 우려한다.

SK쉴더스 관계자는 "사이버폴크 등의 랜섬웨어는 메일의 첨부파일을 통해 전파되고 있다"며 "의심스럽거나 확인되지 않은 발신자의 메일 및 첨부파일을 열람하지 않도록 각별히 주의해야 한다"고 말했다.

이어 "첨부파일을 내려받더라도 실행하지 않으면 위협을 막을 수 있다"며 "가상 환경에서 메일에 위협 요소가 있는지 탐색 후 차단하는 Email Thread Response & Detection 설루션 등을 활용해야 한다"고 전했다.

ideaed@news1.kr