레빌과 블랙매터의 유산을 물려받았다고 주장하는 새 랜섬웨어 그룹, 알프파이브

랜섬웨어 그룹이 새롭게 나타나 다크웹에서 활동을 시작했다. 이들은 알프파이브라고 하며, 레빌과 블랙매터라는 과거 유명 랜섬웨어 단체로부터 파생되어 나온 조직이라고 스스로를 홍보하고 있다. 실제 이들에게서 블랙매터의 모습이 언뜻 나타나기도 한다.

[보안뉴스 문가용 기자] 알프파이브(ALPHV)라는 랜섬웨어 그룹이 다크웹에 등장해 자신들만의 랜섬웨어 서비스를 새롭게 시작했다. 알프파이브는 자신들이 국제 공조로 사라진 블랙매터(BlackMatter)와 레빌(REvil) 그룹의 멤버들로 구성되어 있다고 주장하고 있으며, 이미 한 ERP 업체와 산업 기업 한 군데를 공격하는 데 성공했다고 발표하기도 했다.

[이미지 = utoimage]

알프파이브가 주력으로 사용하는(다른 공격자들에게 판매하는) 랜섬웨어는 블랙캣(BlackCat)이라고 한다. 보안 업체 카스퍼스키(Kaspersky)는 “이미 여러 조직들이 블랙캣에 당했다”고 말한다. 또한 알프파이브의 주장처럼 “일부 멤버가 블랙매터나 랜섬웨어에서 활동한 전력이 있는 것처럼 보이기는 한다”고도 밝혔다.

“현재까지는 블랙캣이 연루된 공격을 세분화 하여 역할을 명확히 구분하는 게 어렵습니다. 코드를 개발하거나 관리하는 사람, 파트너 조직들과의 관계를 담당하는 사람, 실제 공격을 실시하는 사람 등이 섞여서 사건을 일으키기는 하는데 그 구분이 뚜렷하지는 않다는 겁니다. 일부 공격에서는 접근 브로커들과 침투 테스트의 것으로 보이는 흔적이 발견되기도 했습니다.” 카스퍼스키 측의 설명이다.

카스퍼스키가 추적하고 분석한 바에 따르면 알프파이브는 펜더(Fendr)라는 공격 도구를 사용하는 모습을 보이기도 했다. 펜더는 과거 블랙매터 그룹만이 사용하던 도구다. 2021년 12월과 2022년 1월 일부 피해자들로부터 정보를 빼돌리는 데에 펜더가 사용됐었다. 그런 후에 블랙캣 랜섬웨어를 사용해 데이터를 암호화시켰다고 한다. 랜섬웨어 공격자들 사이에서 인기가 높은 이중 협박 전략인 것이다.

블랙캣의 독특한 점은 러스트(Rust)라는 프로그래밍 언어로 만들어져 있다는 사실이다. 러스트를 사용해 멀웨어를 제작하는 경우가 아주 없지는 않은데, 매우 드물기 때문에 이런 점이 눈에 띄는 것이다. 러스트의 강점은 여러 가지 플랫폼에 사용될 버전을 빠르게 컴파일링 할 수 있다는 것으로, 예를 들어 윈도용 멀웨어를 리눅스용과 맥OS용으로도 변환시키는 게 가능하다.

현재까지 카스퍼스키가 찾아낸 블랙캣의 피해자들 중에는 중동의 ERP 서비스 제공 업체 하나가 포함되어 있었다. 공격자들은 이곳에서 파일 암호화 만이 아니라 크리덴셜 탈취도 시도했다. 그 다음에는 남미 지역의 석유, 가스, 광산, 건축 업체가 당한 것으로 나타났다. 이 공격에서 알프파이브는 펜더를 사용하기도 했었다.

많은 랜섬웨어 그룹들처럼 알프파이브도 ‘서비스형 랜섬웨어(RaaS)’를 사업 모델로 채택하고 있다. 그렇기 때문에 공격 그룹의 구성원 및 조직 구조를 명확하게 파악하는 게 힘들다. 따라서 레빌과 블랙매터의 그룹 멤버들로 구성되어 있다고 주장하고는 있지만 사실은 그들의 옛 도구들만 계약을 통해 대여해서 사용하는 것뿐일 수도 있다. 유명한 과거 그룹들의 이름을 빌려 고객들을 끌어 모으려는 전략인 셈이다.

“다크웹과 각종 해킹 포럼에서 활동하는 범죄자들은 과거 유명한 이들의 명성을 곧잘 신뢰하는 편입니다. 그렇기 때문에 악명 높았던 이들의 이름을 빌려서 사업을 한다는 건 그리 새로울 것도 없는 사업 전략이고, 나름 잘 통하는 방법이기도 합니다. 실제로 이들의 활동에서 블랙매터의 모습이 나타나기도 하고요. 하지만 어차피 요즘의 랜섬웨어 공격은 여러 특기를 가진 자들이 계약 관계를 맺어 연합함으로써 발생합니다. 과거 어떤 이력을 가진 자라도 또 다른 그룹과 손을 잡고 있다는 게 이상할 것도 없습니다.” 카스퍼스키의 설명이다.

레빌과 블랙매터는 모두 러시아인들로 구성되어 있는 것으로 알려진 범죄 단체다. 러시아인이 아니더라도 러시아어를 자기들끼리는 사용하고 있으며, 활동하던 곳도 러시아어 기반 포럼이었다. 그러나 아직 알프파이브 역시 러시아인들로 구성된 그룹인지는 확실치 않다. “하지만 러시아어를 사용하는 자들로 이뤄진 집단일 가능성이 가장 높은 건 사실입니다.”

3줄 요약
1. 다크웹에 새롭게 나타난 랜섬웨어 그룹, 알프파이브.
2. 스스로를 레빌과 블랙매터의 옛 멤버들로 이뤄진 팀이라고 홍보.
3. 주로 사용하는 랜섬웨어의 이름은 블랙캣.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)