[논문 리뷰] 온라인수색 이용 랜섬웨어 조직의 가상자산 압수방안

*본 글의 모든 내용, 그림, 표 출처는 논문 원문에 있습니다.

논문 전문 : https://www-dbpia-co-kr.libproxy.dankook.ac.kr/journal/articleDetail?nodeId=NODE11144246

[출처] 권현, 이경주, 김하영, 김영웅, 김기범. (2022). 온라인수색 이용 랜섬웨어 조직의 가상자산 압수방안. 디지털포렌식연구, 16(3), 130-142.

---

 최근 들어 대규모의 사람들을 관리하는 기업 또는 정부기관을 대상으로 랜섬웨어의 공격이 늘어났다.  랜섬웨어 공격단체들은 기업 및 기관에서 관리하고, 필수적으로 사용하는 데이터들을 암호화해서 데이터의 사용을 불가능하게 만든 후에, 이에 대한 복구를 조건으로 피해 업체 또는 기관에 비용을 요구한다. 이때, 비용을 가상자산으로 요구를 한다는 특징이 있다.

 이러한 가상자산 범죄가 신규적으로 늘어남에 따라 전통적인 수사 기법의 한계가 드러나고 있다. 

---

 주로 등장하는 용어들을 정리하자면)

* 가상 자산 : 전자적으로 거래 및 이전을 위해 사용할 수 있는 모든 가치들을 말한다. 

* 랜섬웨어 : 컴퓨터에 저장되어 있는 파일을 암호화한 후 복호화 키를 대가로 가상자산을 요구하는 악성코드

* 복호화 / 디코딩 (decoding) : 인코딩(Encoding)된 정보를 암호화되기 전으로 되돌리는 방식

* 이더리움 : 블록체인 기술을 기반으로 스마트 계약 기능을 구현하기 위한 분산 컴퓨팅 기술

* 서비스형 랜섬웨어(RaaS) : 랜섬웨어 개발자가 자신의 오염된 소프트웨어를 다른 해커에서 판매하는 사이버 범죄 비즈니스

* 클러스터링 : 서로 유사한 속성을 갖는 데이터를 같은 군집으로 묶어주는 작업

* 트랜잭션 : 쪼갤 수 없는 업무 처리의 최소 단위

* 휴리스틱(heuristics) : 시간과 정보의 제약으로 비합리적인 판단을 내리거나 합리적인 판단이 필요하지 않은 상황에서 사람들이 사용할 수 있도록 구현된 간편한 추론 방법 중 하나

* 아티팩트 : 가상자산 지갑이 사용된 PC에서 확보 가능한 것

* 니모닉 코드 : 연상 기호 코드라고도 불리는데, 컴퓨터가 읽을 수 있는 기계어와 일대일로 대응하는 인간이 기억하기 쉽도록 문자를 사용한 명령어

* 온라인 수색 : 이용자가 인지하지 않는 상태에서 감시 소프트웨어를 통해 전자적 방법으로 관련 정보를 찾는 것으로 공개적이고 일회적이며 대상이 정해져 있는 압수 수색(전통적)과 구별이 된다. 

* 이더리움 : 네트워크가 구축할 수 있는 블록체인 네트워크의 기본 구조를 제공

* 평문 : 암호화되지 않은 자료

---

 가상자산을 노린 랜섬웨어 공격의 증가를 대표적으로 보여주는 사건으로 워너크라이(Wanna Cry) 사건과 콜로니얼 파이프라인(Colonial Pipeline) 사건이 있다. 워너크라이 사건의 경우, 2017년에 발발했으며, 150개 이상의 국가에서 30만대 이상의 컴퓨터를 감염시킨 사건이다. 콜로니얼 파이프라인(송유관 업체명) 사건의 경우에는 일부 금액을 회수하는데 성공하였는데, 범죄조직이 가상자산을 세탁할 때 사용한 비밀키를 FBI 측에서 확보한 것으로 추정된다.

 이와 같은 사건들로 랜섬웨어의 피해 규모와 가해 조직들에 대한 지불 금액이 증가하고 있어 용의자를 특정하고 피해금을 입수하는 것의 중요성이 증가하였다는 것을 알 수 있다.

 이번 실험에서는 가상자산 자금세탁에 사용한 PC를 온라인 수색 시, 지갑 및 가상자산 압수에 필요한 정보를 확인할 수 있는지 여부를 메모리와 디스크를 분석하여 금액 입수 가능성을 알아보는 것이 최종 목적이다. 

 본 논문에서의 선행 연구로는 랜섬웨어의 범죄동향을 알아보고, 가상자산을 압수하는 법제 방안에 대해 조사를 한 것으로 보인다. 그리고 가상자산을 압수하는데 사용한 기술들을 파악하였다.  하지만 논문의 실험과정을 더 강조하고자 하여 제시된 법제 방안들은 리뷰글에서 생략할 것이다. 

 랜섬웨어의 공격 진입장벽이 많이 낮아짐에 따라 기업들과 정부기관의 지속적인 피해가 증가하는 추세이다. 공격 대상은 주로 개인이 정부 기관 및 기업에 공격을 가하는 형태이다. 공격 기술로는 서비스형 랜섬웨어(RaaS)를 사용한다. 전세계적으로 발생하고 있으며 그 사례로는 한국 이랜드 그룹, 독일 뒤셀도르프 대학병원 등이 피해를 본 것으로 밝혀졌다. 그리고 KISA와 CONCERT에서 실시한 설문조사에 따르면 IT 보안 기업 종사자 중에서 랜섬웨어 복구비용으로 가상 자산을 지불한 경험이 2018년에서 2020년으로 갈수록 증가하는 경향을 보이고 있다. 

가상자산 압수 기술로는 

1. 클러스터링 기술을 통해 시각화 그래프나 머신러닝 기법을 결합시킨 시스템 제안

트랜잭션의 거래 구조나 행동 특징을 고려하지 않은 가상자산의 추적을 문제제기 하였고, 이에 대한 솔루션으로 트랜잭션의 거래 패턴과 속성을 복합적으로 고려한 방안을 제시하였다. 

또한 트랜잭션에 이용한 주소들을 하나로 묶어 자금의 흐름을 분석하는 방안을 다음과 같이 제시했다. 

 1) 주소 휴리스틱 

 2) 주소 및 트랜잭션 머신러닝

 3) 그래프 분석 기법

2. Petri Net 기반의 비트코인 거래 분석 방법을 제안

->비트코인 트랜잭션에서 19개의 특성을 추출하여 정의한 규칙 집합으로 의심이 가는 비트코인 거래 주소를 특정하는 방법이다. 단점으로 특성 자체를 추출하고 시작하는 작업이기 때문에 이후에 블록과 트랜잭션을 복구할 수 없다는 점이 있다. 

3. 아티팩트 분석 방안

 1) Bitcoin Core와 Electurm 지갑의 아티팩트 비교 분석법

Bitcoin Core의 경우, 암호화되지 않아 지갑에서 비밀키 추출이 가능하고, Electrum은 암호화되어 있으나 지갑이 생성된 직후에는 비밀키를 추출할 수 있다. 

 2) 가상자산 지갑의 백업 기능을 분석하는 방법

백업 기능을 분석하면, 백업된 비밀키나 니모닉 시드값을 확보할 수 있게 된다. 암호화되지 않은 비밀키와 니모닉 코드를 확보하여 비용을 지불하지 않아도 된다는 것에 의의를 둔다. 하지만 한계점으로는 비밀키와 니모닉 시드값이 백업이 되어있어야만 사용할 수 있는 방법이라는 점도 가진다. 

 3) 비트코인 관련 아티팩트를 수집하는 자동화 도구 제시 

 4) 로컬 환경에서 실행파일로 동작하는 지갑 4종류(Bitcoin Core, Bither, Bitpay, Electrum)의 아티팩트를 분석

각 지갑의 거리 주소와 거래 내역 등의 기록을 포함한 아티팩트를 자동적으로 뽑아낼 수 있는 파이썬 기반의 스크립트를 연구하였다. 하지만 이 또한 기존의 지갑 4종류의 기능으로만 연구한 것이기에 새롭게 개발되는 지갑들을 고려한 연구가 부족하다는 한계점을 떠안고 있다. 

 전체적으로 선행 연구에서의 한계점은 랜섬웨어 범죄조직이 소유한 가상자산을 입수하는 기술적 연구가 부족하다는 평을 내릴 수 있을 것이다. => 가상자산 압수를 위한 온라인 수색의 필요성이 대두되었다. 

 다크웹과 텔레그램의 경우 가상자산 압수를 어렵게 하는 넷상 요인이 된다. 다크웹의 경우 인터넷 프로토콜의 특정이 안 되고 네트워크 패킷이 암호화 되어 있어 수사에 어려움을 겪게 만들 수 있고, 텔레그램의 경우에는 텔레그램 가입자들의 정보 제공을 수사 집행기관에 제출하는 것을 거부하고 있어서 용의자의 신상을 파악하는 것을 어렵게 만든다. 그 외에 모네로(XMR), 대시(DASH)등의 다크코인을 사용해서 가상자산을 거래한다는 특징이 있고, 수사 기관이 랜섬웨어 범죄 조직에 데이터 복구비용으로 가상자산을 지불할 시에 이를 다시 압수하는 것은 불가능하다는 특징이 있다. 무엇보다 수사기관의 국제적 사법공조가 원활하게 이루어지지 않아 사건의 진행을 정지시키는데까지 상당한 기간을 소요한다는 점도 가진다. 

 온라인 수색이 위의 문제점에 대한 해결책으로 제시가 되었는데, 다음과 같다. 수사 협조가 이루어지는데 걸리는 시간을 단축하기 위해서 사건 대상자의 지갑이 설치된 시스템에 코드를 설치해둔다. 그리고 랜섬웨어 피해 지불금을 압수집행하도록 하는 방법이 하나 있다. 이렇게 함으로써 다크웹과 텔레그램으로 수사에 난항을 겪는 문제 또한 해결할 수 있고 국가안보의 테러에도 대응할 수 있게 된다. 단점으로는 개인의 기본권 침해 가능성이 존재한다는 것이다. 하지만 온라인 수색은 랜섬웨어 공격자들이 데이터를 암호화 후 은닉해버려서 전통적인 수사 방법으로 저장매체를 압수할 수가 없는 경우 유일한 해결책이 될 수 있다. 

 온라인 수색은 감시 소프트웨어를 제작 혹은 구매를 하는 것으로 시작 -> 원격접근 및 직접접근 방식

(원격 접근 : 메일의 첨부파일 혹은 특정 인터넷 사이트로 이용자를 유인하거나 시스템의 보안 취약점을 이용하여 코드를 설치

직접 접근 : 수사관이 압수물이 있는 장소로 직접 가서 설치)

-> 접근 성공 후 감시 소프트웨어 설치 -> 데이터 복제 / 시스템 이용 감시 -> 수사기관으로 전송 -> 수색의 목적 달성 후 감시 소프트웨어 제거

 연구의 목적은 랜섬웨어 범죄조직의 가상자산을 압수하는 것이 가능한지를 판단하기 위해 연구를 진행한다. 메모리와 디스크에서 니모닉 코드, 지갑 비밀키, 가상자산 비밀키, 지갑 비밀번호 등 복원 정보에 대한 획득 실험을 실시한다. 실험에서 쓰일 가상자산은 웹 브라우저에서 작동하는 MetaMask, Phantom과 실행 파일로 작동하는 BitPay, Exodus로 4가지 선정하였다. 

 실험 환경 : VMware Workstation 16을 사용하여 지갑별로 Windows 10 가상머신(운영체제를 통일하기 위해서 그런 것 같다)을 생성. MetalMask와 BitPay는 이더리움(ETH)으로, Exodus와 Phantom은 솔라나(SOL)로 거래

-> 지갑 간 가상자산 송/수신을 서로 한번씩 진행한 후, 지갑을 주어진 복원정보를 이용하여 복원 작업을 실시

-> 여기서는 포렌식 툴인 Encase(v8.05), Dumpit(v1.03.20110401), 010Editor(v13.0) 사용

실험 결과

1. MetaMask

사용한 복원 정보 : 니모닉 코드, 지갑 비밀키, 지갑 비밀번호

메모리에서 획득한 복원 정보 : 니모닉 코드, 지갑 비밀키, 지갑 비밀번호

디스크에서 획득한 복원 정보 : x (MetaMask는 웹 브라우저에서 동작하는 지갑이라 디스크와 무관하게 작동하기 때문인 것으로 추정 된다)

2. BitPay

사용한 복원 정보 : 니모닉 코드, 지갑 비밀키, 지갑 비밀번호

특징 : 지갑 생성 시 지갑 비밀번호 설정 여부 선택 가능

설정 x -> 메모리 & 디스크에서 획득한 복원 정보 : 니모닉 코드(평문), 지갑 비밀키 (평문)

설정 o -> 메모리에서 획득한 복원 정보 : 니모닉 코드(암호화), 지갑 비밀키(암호화), 지갑 비밀번호

 3. Exodus(GUI 프로그램 기반)

사용한 복원 정보 : 니모닉 코드, 가상자산 비밀키, 지갑 비밀번호

가상자산의 비밀키의 특징 : 해당 가상자산의 출처가 범죄수익인지 여부를 판단 불가

메모리에서 획득한 복원 정보 : 가상자산 비밀키, 지갑 비밀번호

디스크에서 획득한 복원 정보 : x

4. Phantom(웹 브라우저에서 동작)

사용한 복원 정보 : 니모닉 코드, 지갑 비밀키, 지갑 비밀번호

메모리에서 획득한 복원 정보 : 지갑 비밀키, 지갑 비밀번호

디스크에서 획득한 복원 정보 : x

결과 분석 및 한계

 가상 자산 압수는 수사관의 PC나 범죄자의 PC에서 할 수 있는데, 범죄자 PC에서 압수 진행을 하면 시간은 빠르나 수사 과정을 적발당할 수 있다는 위험이 있어서 수사관의 PC에서 지갑을 복원하여 압수하는 것이 안정적이다. 하지만 수사관의 PC에서 얻어낼 수 있는 복원 정보로만으로는 지갑 복원에 어느정도 한계가 따른다. 따라서 니모닉 코드, 지갑 비밀키, 가상자산 비밀키까지의 복원 정보를 획득하여 수사관 PC에서 지갑을 복원하고 압수하는 방안을 알아볼 것이 요구된다. 

 1) 메모리와 디스크에서 복원 정보를 획득할 수 있는 정규표현식을 제시하지 못함

 2) 가상자산 지갑으로 MetaMask, BitPay, Exodus, Phantom을 정해 실험했기에 일반화에 어려움이 따름

 3) 암호화된 파일을 리버스 엔지니어링으로 복호화하여 추가적인 복원 정보를 획득하지 못하였다는 한계 존재

 

결론

복원 정보 획득과 가상자산 압수를 자동화해주는 도구 개발 요구된다.

온라인수색 입법화에 대한 논의를 통해 구체적인 집행방안을 강구해야 할 것.