‘사탄’은 기존의 ‘케르베르(Cerber)’와 같은 ‘서비스형 랜섬웨어(Ransomware as a Service, RaaS)’다. 서비스형 랜섬웨어는 랜섬웨어를 판매, 관리, 배포해주는 서비스로, 최근 일어난 랜섬웨어 붐으로 생겨난 기형적인 서비스 시장이다.

이번 ‘사탄’ 서비스는 랜섬웨어를 제작하는데 비용이 들지 않으며, 대신 랜섬웨어 피해자가 지급하는 대가의 30%를 수수료로 청구한다. 랜섬웨어 제작에 비용이 들지 않기 때문에 누구나 호기심으로 범죄에 손 댈 수 있어 큰 피해가 발생할 것으로 예상된다.

PC가 해당 랜섬웨어에 감염될 경우 361개 확장자를 가진 파일을 암호화하고, 해당 파일의 확장자를 ‘.stn’로 수정한다. 파일들에 대한 암호화가 완료되면 랜섬웨어 감염 노트를 띄워 사용자가 해당 파일들에 대한 몸값 비용을 지불하도록 유도한다.

김동준 하우리 보안연구팀 연구원은 “이번 사탄 랜섬웨어 서비스는 기존 블랙마켓의 악성코드 거래 방식과는 달리 서비스 방식”이라며, “고도화되는 랜섬웨어 서비스 시장에 대처할 수 있는 대책방안 마련이 시급하다”라고 말했다.