보안뉴스 창간 18주년을 축하합니다!!

Home > 전체기사

국제 공조로 무력화 된 록빗 랜섬웨어, “공격 인프라부터 소스코드, 복호화 키까지”

입력 : 2024-02-21 14:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
여러 국가의 사법 기관들이 뭉쳐 수개월 동안 록빗을 쫓았다. 그리고 이들이 운영하는 서비스의 PHP 취약점을 익스플로잇 해 해킹했다. 거기서부터 이들에 대해 파악한 뒤 각종 인프라와 시스템, 데이터를 무력화시켰다.

[보안뉴스 문가용 기자] 국제 공조를 통해 가장 악명 높은 랜섬웨어 운영 집단인 록빗(LockBit)이 와해됐다. 이 작전에 참여한 사법 기관들은 록빗이 공격에 사용하던 플랫폼과 데이터, 공격 인프라 모두를 확보했다고 한다. 이 작전에는 크로노스(Cronos)라는 이름이 붙었다. 수개월 간 진행되어 왔으며, 앞으로도 계속해서 진행될 것이라고 한다.

[이미지 = gettyimagesbank]


작전의 성과는 여러 가지인데, 다음 정보를 확보할 수 있었던 것이 가장 중요하다.
1) 소스코드
2) 랜섬웨어 피해자들에 대한 상세 정보
3) 록빗이 훔쳐갔던 데이터
4) 복호화 키
5) 록빗과 그 협력자들이 가져간 돈 관련 정보

이 작전에 참여한 건 미국의 FBI, 영국의 NCA, 유로폴, 그 외 크로노스작전TF 팀이다. 이들은 록빗이 피해자들의 정보를 공개하는 웹사이트까지 장악했으며, 록빗의 현 상황과 크로노스 작전의 성공을 바로 이 사이트를 통해 대대적으로 알리는 중이다. 록빗의 공격 인프라를 통해 이들이 무력화 됐음을 직접 알린 것으로, 이는 록빗에게 있어 꽤나 망신스러운 일이라고 외신들은 보도하고 있다. “이제 이 사이트는 피해자들의 정보가 아니라 록빗에 관한 정보가 공개되는 장이 될 것”이라고 NCA는 장담하기도 했다.

사법 기관들은 록빗의 서버도 다량으로 압수해냈다. 그리고 여기에서부터 록빗의 활동 이력과 방식에 관한 다량의 첩보들을 입수하는 데 성공했다고 한다. 즉 록빗이 그 동안 어떤 방식으로 활동해 왔는지, 어떤 파트너들과 같이 일해 왔는지를 알게 된 것이다. 복호화 키들도 1천 개 정도 발견됐는데, 사법 기관은 피해자들과 일일이 연락해 복구 작업을 도울 예정이라고 한다.

록빗에서 발견된 오류
록빗은 록빗섭(LockBitSupp)이라는 서비스를 운영하기도 했었다. 록빗섭은 일종의 기술 지원 서비스로, 록빗과 파트너십을 맺은 여러 공격 단체들이 보다 원활하게 공격을 실시할 수 있도록 돕는 기능이다. 토르 기반의 메시징 서비스 형태로 구성되어 있다. 사법 기관들은 이 서비스의 PHP 관련 취약점을 익스플로잇 해서 침투했고, 이를 통해 록빗의 내부 사정을 보다 선명하게 들여다볼 수 있었다고 한다. 즉 해커를 해킹한 것이다.

이 취약점은 CVE-2023-3824로, PHP 8.0.30 이전의 8.0 버전과, 8.1.22 이전의 8.1 버전, 8.2.8 이전의 8.2 버전에서 발견됐다. 익스플로잇에 성공할 경우 PHAR 파일을 로딩하는 동안 디렉토리 입력값을 읽을 수 있게 되며, 이를 통해 공격자는 스택 버퍼 오버플로우 상태를 유발시킬 수 있게 된다. 여기까지 진행됐다면 공격자는 메모리 변경 공격을 하거나 원격 코드 실행 공격을 할 수 있다. 다만 사법 기관은 이 취약점을 어떤 식으로 익스플로잇 했는지 직접 밝히지는 않았다. 해커를 해킹했다는 것만 발표했을 뿐이다.

이러한 시도를 통해 사법 기관들은 록빗과 관련된 인물 두 명을 폴란드와 우크라이나에서 체포하는 데 성공했으며, 록빗과 관련된 암호화폐 계정 200개 이상을 동결시키기도 했다.

사법 기관의 표적이 되고 있는 RaaS
록빗은 RaaS 기반 사업자들 중 현재 세계에서 가장 악명이 높은 단체라고 할 수 있다. 2019년 처음 등장했으며, 등장 직후부터 거세게 피해자들을 쌓아갔다. 2020년부터 작년 6월 사이에 미국 조직들을 겨냥해 1700번 이상의 사이버 공격을 실시했고, 9100만 달러의 피해를 입혔다. 처음에는 중소기업을 주로 노렸지만 점점 자신감이 붙었는지 국제적인 기업들도 노리기 시작했다. 그러면서 보잉, 서브웨이, 현대모터유럽, 뱅크오브아메리카 등이 당했다.

당연히 국제 사법 기관들은 록빗을 잡는 데에 혈안이 되기 시작했다. 크로노스 작전이 발촉되기 전부터 록빗은 사이버 수사 요원들이 가장 잡고 싶어하는 조직이었던 것으로 알려져 있다. 미국 사법부의 경우 작년 6월 러시아인 한 명을 체포하고 록빗에 협력했다는 혐의로 기소한 바 있다. 이 인물은 루슬란 마고메도비치 아스타미로프(Ruslan Magomedovich Astamirov)로, 2020년 8월부터 2022년 3월 사이에 최소 다섯 번의 록빗 관련 공격을 실시한 것으로 알려져 있다.

이렇게 사법 기관들이 활발히 활동하면 사이버 공격자들의 활동의 양과 폭은 줄어드는 게 보통이다. 이번에 록빗이 입은 타격은 결코 작다고 할 수 없으며, 따라서 당분간 록빗의 활동은 눈에 띄지 않을 것으로 예상되고 있다. 그렇다고 해서 록빗이 지구상에서 완전히 사라졌다거나, 록빗에 참여했던 자들이 다른 랜섬웨어 사업을 시작하지 않으리라고 할 수는 없다. 실제로 국제 공조로 와해된 수많은 랜섬웨어 그룹들이 부활해 활동을 다시 시작하고 있기도 하다.

보안 업체 셈페리스(Semperis)의 연구 수석인 요시 라크만(Yossi Rachman)은 “결국 시간이 지나면 어떻게든 다시 활동을 시작할 것”이라며, “이름이나 멤버 구성을 조금 바꾸는 식으로 해서 명맥을 이어나가는 것이 앞으로의 행보”라고 예측한다. “이미 랜섬웨어로 어마어마한 금전적 성공을 맛본 이들이, 그 맛을 포기할 리가 없습니다. 그렇기 때문에 록빗의 위협이 끝났다고 여기는 게 아니라 더 거세질 거라고 생각해야 합니다.”

앞으로는
그래서 여러 사법기관들은 강력한 비밀번호를 설정하고, 다중인증 시스템을 도입할 것을 권장한다. 특히 웹 기반 메일이나 VPN 등 중요한 게이트웨이가 될 수 있는 것들에는 무조건 튼튼한 인증 시스템을 구축해야 한다는 게 CISA 등이 강조하는 내용이다. 그 외에 취약점 패치를 빠르게 적용하되, 익스플로잇이 이미 실시되고 있는 취약점들을 우선적으로 처리하는 것도 중요하다고 한다.

그 다음으로 호스트 기반 방화벽을 마련하고, 관리자 권한을 가진 계정을 최소화 하며, 관리자 권한을 가지고 사용할 수 있는 장비의 수도 줄이는 것이 권장되고 있다. 중요한 파일의 경우 그 누구도 변경하지 못하도록 보호 장치를 걸어두고 외부에 백업해두는 것 역시 랜섬웨어 공격으로 인한 피해를 최소화 하는 데 큰 도움이 된다.

3줄 요약
1. 전 세계적인 공조로 악명 높은 록빗 랜섬웨어 폐쇄됨.
2. 소스코드부터 공격 인프라까지 전부 압수됨.
3. 하지만 록빗에 대한 경계는 유지되어야 할 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)