Home > 전체기사

랜섬웨어 시장의 적폐 청산을 외치며 나타난 새 그룹, 그루브

  |  입력 : 2021-09-11 12:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로운 사이버 범죄 단체가 등장했다. 랜섬웨어 시장이 점점 갑을정병 관계로 편성되는 때에 나타나 ‘우리는 다르다’고 외치고 있다. 시장을 통째로 개편하려는 야심찬 새내기가 시장에 어떤 영향을 끼칠지는 아직 미지수지만 관심 있게 지켜볼 수밖에 없다.

[보안뉴스 문가용 기자] 잘 나가는 랜섬웨어 산업이라서 그런지 이쪽 방면으로 유입되는 ‘인재(?)’들은 끝이 없는 듯하다. 최근 그루브(Groove)라는 이름을 가진 단체가 새롭게 등장했는데, 세 개의 보안 업체가 한꺼번에 이 새내기들에 대한 경고를 내놓았다. 맥아피(McAfee), 인텔417(Intel417), 코브웨어(Coveware)다.

[이미지 = utoimage]


그루브는 등장하자마자 50만 사용자의 이름과 크리덴셜을 유출시키는 일을 저질렀다. 이 사용자들은 포티넷(Fortinet)의 포티게이트(FortiGate) SSL-VPN 장비들을 패치하지 않고 사용하던 사람들이었다. 위 세 보안 업체 중 맥아피는 “새롭게 등장한 그루브가 사이버 범죄자들의 이목을 끌기 위해 감행한 일로 보인다”고 분석했다.

“사이버 범죄자들에게 스스로의 존재를 알릴만한 일이 되었습니다. 또한 이제 막 사이버 범죄에 발을 들여놓으려는 사람들에게 꽤나 강력한 도구를 쥐어줌으로써 범죄 세계에 이바지한다는 이미지도 심을 수 있었죠.” 맥아피의 수석 엔지니어인 존 포커(John Fokker)의 설명이다. “사이버 범죄자 그룹들은 대부분 ‘최초 침투’를 상당히 어려워합니다. VPN 크리덴셜은 그런 문제를 해결해 주는 열쇠와 같죠. 해킹의 ‘ㅎ’도 모르는 사람들이라도 로그인을 할 수는 있으니까요.”

이 사건에서 문제가 됐던 취약점은 CVE-2018-13379다. 이미 2019년 5월에 포티넷이 경고하고 패치까지 발표한 취약점이다. 그루브는 이 취약점을 익스플로잇 해 크리덴셜들을 훔쳐 사이버 범죄자들에게 제공한 것으로 보이는데, 아직 이 크리덴셜의 진본성 여부는 확실히 밝혀지지 않은 상태다. 참고로 CVE-2018-13379는 가장 흔하게 익스플로잇 되는 취약점 중 하나로 알려져 있다. 이런 상황에서 패치를 적용하는 건 전적으로 사용자의 몫이다.

하지만 포티넷은 최근 그루브 사건으로 다시 한 번 자사 제품이 화제가 되자 “비밀번호도 새롭게 설정해야 한다”고 경고했다. “패치를 했더라도 같은 비밀번호를 계속 사용 혹은 재사용하면 여전히 위험에 노출될 수 있습니다. 패치가 적용되기 직전까지의 시간 동안 누군가 이미 시스템을 익스플로잇 해서 크리덴셜을 빼갔을 가능성이 낮지 않다는 걸 염두에 두어야 합니다. 패치라는 것이 이미 노출된 크리덴셜까지 안전하게 보호해 주는 건 아닙니다.”

포티넷 VPN 크리덴셜들은 램프(RAMP)라고 하는 새로운 다크웹 포럼을 통해 공개됐다. 램프는 바북(Babuk) 랜섬웨어를 운영하던 인물이 만든 것으로 추정된다. 바북은 ‘랜섬웨어 대여 서비스(RaaS)’를 운영하던 공격 단체들인데, 그래서 그런지 램프 역시 각종 RaaS 사업자들의 홍보와 사업 활동을 위해 마련된 것처럼 보인다. RaaS 관련 거래 행위가 활발히 일어나고 있다.

다른 유명 해킹 포럼들에서는 콜로니얼 파이프라인(Colonial Pipeline) 사건 후 랜섬웨어에 대한 논의 자체를 금했기 때문에 램프와 같은 포럼에 범죄자들은 목이 말랐을 것으로 여겨진다. RaaS 사업은 원래 새로운 사람들과 협력 관계를 끊임없이 만들어야 하는데, 논의와 거래의 장이 없어진다는 것은 꽤나 치명적일 수밖에 없다. 램프는 이런 틈새를 노리고 들어온 포럼이라고 볼 수 있다.

포커는 “또한 RaaS 사업자들은 자신들의 능력을 자랑하고, 분쟁이 일어났을 때 중재자를 찾고, 막 개발한 바이너리를 실험할 장이 필요한데, 포럼들이 랜섬웨어에 대해 문을 닫음으로써 이 모든 행위를 할 수 없게 됐다”고 설명을 추가한다. “RaaS 사업자들로서는 다른 사이버 범죄자들에게 항상 눈에 띄는 존재여야 하고 신뢰를 얻어내야 하는데, 그걸 못하게 된 겁니다. 그래서 기존에 명성을 떨친 탑티어의 그룹들만이 살아남을 뿐 아니라 가장 영향력이 센 자들이 되었습니다. 랜섬웨어 포럼이 사라짐으로써 이들이 갑 중의 갑이 된 것이죠.”

그러면서 이른 바 빈익빈 부익부 현상이 랜섬웨어 시장 내에서 굳어지는 분위기였다. 그 때 램프와 함께 그루브가 등장한 것이다. 그래서 그루브가 한 일은 단순히 VPN 크리덴셜 수십만 개를 풀었다는 것 이상의 의미를 가지고 있다. 랜섬웨어 이야기를 활발히 할 수 있는 장이 있다고 강력히 선포한 것이며, 따라서 강자 위주로 개편되고 있는 현재의 랜섬웨어 시장을 개편하자고 외친 것이다.

이러한 시도가 성공적인 결과를 낳게 되면 그루브는 또 다른 의미에서 사이버 범죄자들의 존경의 대상이 될 가능성이 높다. 포커가 기사 앞 부분에서 말한 ‘사이버 범죄자들의 이목을 끌기 위한 행동’이라는 분석은 이런 차원에서 나온 것이기도 하다. 한편 그루브의 이러한 움직임 덕분에 신생 포럼인 램프 역시 적잖은 이득을 보게 됐는데, 그루브와 램프의 관계는 아직 명확히 밝혀지지 않았다. 하지만 현재로서는 그루브나 램프 운영자나 모두 바북 출신이라는 의견이 주류다.

또 하나 재미있는 건 그루브가 ‘오로지 랜섬웨어만’ 고집하는 건 아니라는 것이다. 그루브는 현재 사이버 범죄 시장 내에서 “랜섬웨어는 침해한 네트워크를 통해 돈을 벌 수 있게 해 주는 여러 가지 수단 중 하나일 뿐”임을 강조하는 포지셔닝을 취하고 있다. 그러므로 랜섬웨어 전문 단체만이 아니라 다른 유형의 사이버 범죄자들과도 협력을 하고 다양한 방식의 사업 모델을 꾸려가겠다는 메시지도 함께 설파 중이다. 결국 방법이 어찌됐든 최대한의 소득을 거두고 싶다면 자신들과 협력하라는 것이 이들이 지금 사이버 범죄자들을 모으는 방법이다.

포커는 “그루브는 대세가 되어 버린 RaaS 시장의 형태를 완전히 전복시키고자 하는 것처럼 보인다”고 설명한다. “기존 RaaS에서는 결국 랜섬웨어를 최초로 개발해 대여하는 쪽에서 강한 힘을 가지고 있었습니다. 랜섬웨어 포럼들이 사라진 지금 이 점은 더 두드러지게 나타나고 있죠. 그루브는 ‘모두가 협력하자’는 점에서 RaaS와 비슷하지만 ‘우리는 랜섬웨어 기술력 좀 가지고 있다고 당신들을 쥐고 흔들려 하지 않겠다’는 걸 강조하고 있습니다.”

그렇다면 이들은 어떤 식으로 이러한 사업 모델을 통해 이득을 보려고 하는 걸까? 정말로 사이버 범죄자들의 공생을 위해 나타난 존재일까? 포터는 “이들의 숨은 의도는 랜섬웨어를 가진 자가 힘을 갖는 현재의 시장 구조를 개편해 피해자의 네트워크를 제어하는 자가 힘을 가질 수 있도록 만드는 것”이라고 추측하고 있다. “결국 나는 침투해 들어갈 테니 거기서부터 최대한의 수익을 뽑아내고자 하는 사람은 누구든 다 붙어라, 라는 메시지를 전파하고 있다는 것이 이러한 뉘앙스를 풍깁니다.”

3줄 요약
1. 새로운 공격 단체 그루브, 새로운 RaaS 포럼인 램프를 통해 등장.
2. 포티넷 VPN 크리덴셜 유출시키면서 ‘돈 되는 일이면 누구와도 협력할 수 있다’고 광고.
3. 랜섬웨어 가진 자가 갑인 현재 시장 구조를 뒤집으려는 시도 엿보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)