[bnTV] 한국 노리는 악질 ‘귀신 랜섬웨어’ 그들 정체는? 북한일까 아닐까

입력 : 2022-08-22 15:44

지난해 말부터 증권사 이어 제약사 등 국내 기업 계속 공격하는 ‘귀신 랜섬웨어’ 정체
북한 해커조직과의 연계성 의심, 그러나 확실한 증거 없어 단언하기는 어려워
랜섬웨어 LockBit 3.0 공격 증가, 사이버 범죄의 진입장벽이 점점 낮아지고 있어


■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 14화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요. 보안뉴스의 권준 편집국장입니다.

■ 곽경주 이사 안녕하세요. 곽경주입니다.

□ 권준 국장 그동안 잘 지내셨죠?

■ 곽경주 이사 아, 네 잘 지냈습니다.

□ 권준 국장 최근에 이사님이 찍으신 장기하 패러디 영상이 아주 장안의 화제인데요.

■ 곽경주 이사 어... 반응 좋더라고요.

□ 권준 국장 (빵 터짐)

■ 곽경주 이사 저 혼자만 반응이 안 좋아가지고... (웃음) 다들 재밌다고...

□ 권준 국장 네, 앞으로 가끔 저희가 망가져야지 조회수가 좀 나오는 것 같고요.


[국제형사경찰기구 ‘인터폴(INTERPOL)’]
□ 권준 국장 곽 이사님은 최근에 국제형사경찰기구 ‘인터폴(INTERPOL)’과도 협력을 하시는 걸로 알고 있는데요. 사이버 범죄 소탕에 있어서도 인터폴의 역할이 많이 커지는 것 같은데, 인터폴이 어떤 기구인지 간략하게 설명을 해주신다면요?

■ 곽경주 이사 인터폴은 아시다시피 국제형사경찰기구이고요. 전 세계에 있는 각국의 수사기관들 간의 사이버 범죄뿐만 아니라 실제 오프라인 상에서 일어나는 마약이라든가 여러 가지 범죄들에 대해서 국제 수사를 조율해주고 수사를 기획하는 그런 기구이고요.

최근에 보시게 되면 랜섬웨어가 굉장히 급증하면서 인터폴에서 실제 범죄자들을 소탕하는데 많은 역할을 했었고요. 이런 역할을 할 때에는 인터폴 단독으로 수사를 하는 것이 아니라 ‘유로폴(EUROPOL)’이라든가 ‘한국 경찰’이라든가 ‘아일랜드 경찰’, ‘미국 FBI’ 등 각국 경찰들의 가운데에서 조율을 해주는 역할을 하고 있습니다.

[귀신 랜섬웨어]
□ 권준 국장 무더운 여름철에도 다크웹이나 사이버 범죄 관련해서는 계속 이슈가 많았던 것 같은데요. 특히, 우리나라 기업들을 주 타깃으로 한 ‘귀신 랜섬웨어’에 대해 좀더 구체적으로 설명해 주신다면?

■ 곽경주 이사 귀신 랜섬웨어는 지난해 말쯤에 국내 증권사를 공격하면서 많이 알려지게 됐고요. 그리고 올해도 공격을 지속하고 있죠. 이름에서 아시다시피 한국을 잘 알고 있습니다. 피해 분야를 보게 되면 지금까지 알려진 것으로는 증권사 그 다음에 제약사 쪽으로 피해기업이 발생했습니다.

□ 권준 국장 일각에서는 귀신 랜섬웨어가 ‘북한 해커조직하고 연계성이 있다’는 얘기도 있던데요.

■ 곽경주 이사 조심스럽게 말씀드려야 되는 부분이기는 한데, 저는 그냥 심증으로는 북한과의 연게성이 있을 것 같습니다. 왜냐하면 한국어도 잘하고 공격을 할 때 사용하는 취약점이나 이런 것들이 기존의 북한 조직들과 관련성들이 있거든요. 하지만 저와 같은 분석가들은 팩트를 그대로 말씀드려야 하기 때문에 아직까지는 명백하게 북한 IP가 나왔다든가, (랜섬웨어) 코드가 완전히 동일하다든가, 이런 부분들은 보이지 않아서 확실하게 말씀을 드릴 수는 없을 것 같습니다.

□ 권준 국장 북한과의 연계성은 아직 확실한 증거가 없기 때문에 가늠하기는 어렵지만, ‘한국과 관련된 사람들이 (조직 내에) 있을 수 있다, 그런 가능성이 높다.’ 이렇게 봐도 되겠네요.

[랜섬웨어 LockBit 3.0]
□ 권준 국장 저희가 그간 가장 많이 언급했던 랜섬웨어 조직 가운데 하나가 바로 ‘록빗(LockBit)’이잖아요. (기업들이) 피해도 가장 많이 입었고 그 다음에 활동량도 가장 많다고 얘기를 했었는데요. 최근 ‘LockBit 3.0’으로 업그레이드 되면서 국내에도 유포되고 전 세계에 유포가 많이 이뤄지고 있는 것 같은데요. 3.0으로 업데이트되면서 어떤 기능이 향상이 됐고 그 다음에 피해 규모는 어느 정도 되는지 한번 설명을 부탁드리겠습니다.

■ 곽경주 이사 일단 LockBit 3.0은 올해 6월에 업데이트가 됐고 (2.0과 비교하여) 가장 큰 차이점이라고 하면 ‘블랙매터(BlackMatter)’라고 하는 랜섬웨어가 있는데, 그곳의 소스코드를 차용한 것이 분명히 보여요. 그동안 2.0에서는 그런 부분이 보이지 않다가 3.0에서는 BlackMatter 소스의 일부가 여기에(LockBit) 흡수되어 (합병이) 된 것 같은데 전체적인 큰 기능이나 이런 것들은 랜섬웨어의 기본 기능을 충실히 잘 따르고 있는 것이고, 암호화 방식이라든가 속도 측면이라든가 이런 면들이 2.0과 차이가 있어요. 그리고 이 BlackMatter의 소스코드를 차용한 것처럼 다른 랜섬웨어 그룹의 리소스(Resourece)를 계속 재활용을 하고 있습니다. 그리고 그들이 소스코드만 재활용을 하겠냐 아니면 침투 방식이나 협상 방식 자체도 BlackMatter나 다른 랜섬웨어 그룹의 수법들을 차용하지 않겠느냐 하는 의심을 바탕으로 저희도 이런 부분들과 관련된 데이터를 사전 대비 차원에서 확보하고 있습니다.

[사이버 범죄 누구나 가능!?]
□ 권준 국장 최근에 보고서 하나가 나왔더라고요. 3만 3천개의 다크웹 사이트나 시장을 조사한 보고서였는데요. 그 중 대표적인 게 ‘사이버 범죄의 진입장벽이 크게 낮아지고 있다’는 결과였는데요. 이사님이 현장에서 느끼시기에 새롭게 진입하는 해커들이 많아지고 있는 것인가요?

■ 곽경주 이사 실력 좋고 오랫동안 특정 기업을 타깃팅해서 쭉 (해킹하여) 들어가는 그런 그룹들을 APT라고 부르는데요. 최근에 보면 자기네들이 APT 그룹인 것처럼 (행동을) 하는 그룹들이 꽤 있어요. 그런데 실상 들여다보면 기존에 유명했던 그런 해커들 보다는 실력이 떨어지는 것 같거든요. 이들이 하는 행태를 보면요. 다크웹에 워낙 유출되어 있는 계정들도 많고, 코드도 많이 있고요. 악성코드 같은 것도 단돈 20만원, 30만원 정도면 악성코드 빌드(Build)까지 할 수 있고, 그것을 유포하는 인프라까지 갖춰줄 수 있는 그런 것들도 팔려나가고 있기 때문에 이런 그룹들의 진입장벽이 많이 낮아졌다고 봐야죠.

□ 권준 국장 그 사람들이 수준이 높지는 않지만 계속 무자비하게 공격을 하기 시작하면 피해는 크게 증가할 수 있겠네요.

[중국 10억 명 개인정보 유출]
□ 권준 국장 그리고 저번에 큰 이슈가 됐던 게 중국인들의 개인정보 10억 건 유출 사건이었는데요. 중국 정부에서 “알리바바를 조사하겠다, 클라우드 보안을 점검하겠다”라고 언급한 다음에 갑자기 조용해진 것 같아요. 뭔가 다른 후속 얘기도 없고 혹시 관련해서 조금 더 추가할 만한 내용이나 다크웹에서 떠도는 얘기가 있을까요?

■ 곽경주 이사 얼마 전에 ‘Sixgill’과 같은 (보안) 기업에서도 발표를 했었는데요. “중국관련 데이터 공유가 더 활발해지고 있다.” 그리고 “이번에 중국 공안 쪽 데이터가 유출된 것이 데이터베이스 설정 오류라고 하는데 단순히 그게 설정 오류일까” “1년간 노출이 돼있었는데 설정 오류가 1년간 방치돼 있었다는 것이 말이 되냐?” 등등의 의문을 제기하는 곳들이 많이 생기는 것 같습니다. 실제로 보면 해당 데이터를 찾는 중국 쪽 대상으로 하는 해커들이 해당 데이터를 계속 찾고는 있어요. 20비트코인(BTC) 정도로 꽤 비싼 돈에 팔리고 있는데요. 보다 구체적인 사항은 좀 더 모니터링을 해봐야 알 것 같습니다. 과거부터 공안에서 사용하는 소프트웨어 취약점들 같은 것이 다크웹 상에서 많이 공개가 됐었거든요. 그래서 공안을 타깃으로 한 사이버 공격들이 계속 있기는 했습니다.

[다크웹 해커조직 및 피해기업 현황]
□ 권준 국장 지난 한달 사이 (다크웹 사이버 범죄) 통계를 간단하게 정리해 주신다면?

■ 곽경주 이사 우선 LockBit이 제일 열심히 하고 있고, 그 외에도 이제 ‘하이브(Hive)’ 랜섬웨어, 그리고 ‘레빌(REvil)’과 ‘클롭(CLOP)’도 다시 한 번 뭔가 본격적인 활동을 하기 위한 움직임이 포착되고 있습니다. 한국에서는 뭐니 뭐니 해도 ‘귀신 랜섬웨어’에 의한 피해 사례가 계속 나오고 있어요. 제약사도 한 군데 뉴스화되기도 했고요. 최근에는 ‘masscan’ 랜섬웨어라는 것이 있어요. 이 masscan 랜섬웨어도 지금 굉장히 많은 피해를 만들어내고 있습니다. 여기에 감염되면 (컴퓨터) 파일의 확장자가 masscan이라는 확장자로 바뀌거든요. 그래서 이제 사람들이 보통 masscan 랜섬웨어라고 부르는데, 해당 공격조직 자체는 저희 회사에서는 새롭게 명명을 해서 ‘DemoCRow’라고 부르고 있습니다. 이 곳도 대응을 많이 해야 할 것 같습니다.

[사이버 보안의 현실과 개선 방법]
□ 권준 국장 추가로 말씀을 드릴만한 것이 국가기반시설이라든가 이런 곳들도 우리나라에서 계속 피해가 생기는 것 같아요, 이와 관련해서 기업들이 좀 더 신경써야할 부분이 있다면.

■ 곽경주 이사 얼마 전에 콜택시 강원도 쪽, 부산 쪽 콜택시 시스템 운영하는 업체가 랜섬웨어에 당하면서 많은 시민들이 불편을 겪었었는데요. 제가 랜섬웨어 사고 조사를 나가보면 결국 침투해서 들어오는 것이 엄청나게 특별한 취약점으로 들어오지 않거든요. VPN 취약점이라든가 거의 방치되다시피 한 사이트가 있는데, 그곳에 뭔가 취약점이 있어가지고 그곳에서 타고 들어온다든가 다크웹에 계정이 유출되어 있다든가 (주로 해킹 취약점이) 이런 것들인데요. 저희는 이런 것을 전부 통틀어서 ‘공격 표면’이라고 얘기하거든요.

이게 사실 10년, 20년 동안 이 패러다임 자체가 바뀐 것이 없어요. 기본기에 충실해야 하는데 문제는 그 기본기를 충실하게 할 만한 인력들이 생각보다 없다는 점입니다. 매출 몇 조씩 내는 회사들과 몇 천억씩 내는 회사들도 내부에 들어가 보면 보안인력이 전산 쪽 인력들이랑 합쳐서 고작 4~5명 정도 밖에 안 되거든요. 서버도 한 사람이 몇 백대씩 보는 등 인력에 대한 투자가 제대로 이뤄지지 않아서 이런 사고가 계속 발생한다고 저는 보거든요.

□ 권준 국장 바쁜 시간 쪼개 촬영 참여해주셔서 너무 감사드리고요. 앞으로도 종종 저희 멋진..!

■ 곽경주 이사 장기하...

□ 권준 국장 쇼츠 영상도 (웃음) 부탁드리고...

■ 곽경주 이사 저만 하면 안 될 것 같은데요!? 국장님도 언제 한번 같이...

□ 권준 국장 네, 알겠습니다...!

■ 곽경주 이사 아, 같이 안하고 혼자! (웃음)

□ 권준 국장 하여튼 수고 많이 하셨고요, 오늘은 이만 마치도록 하겠습니다. 감사합니다.

■ 곽경주 이사 네, 감사합니다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

권준기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...