보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

레빌 랜섬웨어의 부활? 도무지 죽지 않는 사이버 갱단들

입력 : 2022-05-04 22:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
러시아 경찰이 체포했다고 주장한 레빌 랜섬웨어가 되살아났다. 물론 아직 예전의 강력함은 되찾지 못했다. 그럼에도 찝찝한 건 사실이다. 사이버 범죄자들은 어떻게 해야 씨를 말릴 수 있는 걸까.

[보안뉴스 문가용 기자] 사라진 줄 알았던 레빌(REvil) 그룹이 부활했다는 증거들이 나오기 시작했다. 하지만 보안 업계는 되살아난 레빌이 이전 레빌 만큼 강력할 것인지에 대해서는 아직 확신하지 못하고 있다.

[이미지 = utoimage]


4월 29일, 안티멀웨어 업체인 어베스트(Avast)는 레빌 그룹의 이전 멤버들만이 접근할 수 있었던 정보를 통해 생성된 랜섬웨어 샘플을 차단했음을 발표했다. 그보다 일주일 전에는 사이버 보안 업체 엠시소프트(Emsisoft)가 레빌 갱단의 정보 유출용 사이트가 새로운 사이트로 우회 접속되기 시작했다고 경고한 바 있다. 그 새 사이트의 운영자들도 레빌의 이름을 쓰고 있었고, 이미 미국의 대학 한 곳과 인도의 석유 회사 한 곳의 정보가 올라와 있었다.

이 두 가지 정보를 바탕으로 레빌 그룹이 살아났다는 추측들이 나오기 시작했다. 아니라면 적어도 누군가 레빌의 운영자들이 사용하던 비밀 인프라에 도구들에 접근하는 데 성공한 것이라고 볼 수 있다. 엠시소프트의 위협 분석가인 브렛 캘로우(Brett Callow)는 후자의 가능성에 더 무게를 싣는 편이다. “예전 운영자들이 돌아왔다고 보기에는 아직 증거가 모자랍니다. 다만 한두 명이 다시 일을 시작했을 수는 있습니다.”

어느 쪽이든 결국 사이버 갱단을 완전히 없앤다는 게 얼마나 어려운지가 다시 한 번 입증되었다. 레빌은 2021년 거대 식품 처리 회사인 JBS와 IT 관리 업체인 카세야(Kaseya)를 공격하면서 집중 수사의 대상이 되었고, 그 결과 수개월 동안 잠적했었다. 그러다가 다시 작년 9월에 나타났으나 올해 1월 러시아 경찰이 14명의 레빌 멤버들을 체포했다고 발표하면서 사라졌었다.

레빌이라는 단체는 사이버 범죄 시장에서 자취를 감췄지만 일부 멤버들은 계속해서 활동을 이어갔다. 뿔뿔이 흩어져 다른 갱단에 가입해 활약했다. 그런 멤버들 중 일부가, 아니면 여태까지 모습을 감췄던 누군가가 레빌의 부활을 시도하는 것으로 보인다는 게 캘로우의 생각이다. 그렇다면 과연 여기에 가담하고 있는 자들이 누구이며 얼마나 되는지가 궁금해질 수밖에 없다. 

“레빌이라는 이름이 불러일으키는 두려움이 있습니다만, 아직 우리는 확신할 수 없습니다. 정말 지금의 레빌이 옛날처럼 무시무시한 레빌인지 아닌지 말이죠. 사실 지금 랜섬웨어 산업은 하나의 거대한 시장입니다. 여러 범죄 단체가 독자적으로 움직이는 게 아니라 상호 협조적으로 활동하죠. 그런데 사법 기관의 추적을 받아 문을 얼마 간 닫은 적이 있다? 이건 파트너 간 신뢰를 크게 하락시키는 요인이 됩니다. 그렇기에 예전 브랜드를 되살린다는 건 사업적으로 그리 현명한 결정이 아닐 수 있습니다.”

얼마 전 어베스트의 보안 조사원인 자쿱 크로우스텍(Jakub Kroustek)은 트위터에 멀웨어의 스크린샷들을 올렸다. 해당 멀웨어에 아무런 암호화 기능이 없다는 것을 보여주기 위함이었다. “어베스트의 고객 컴퓨터에서 실제로 발견한 멀웨어였습니다. 이는 공격자들이 실험의 목적을 가지고 심은 것으로 보고 있습니다. 멀웨어 자체가 아직 실험 단계에 있는 것으로 보이기도 하고요. 하지만 경보를 울리기에는 충분할 정도로 규격이 갖춰진 멀웨어이기도 하지요.” 

그러면서 크로우스텍은 해당 멀웨어가 레빌 랜섬웨어 원본을 바탕으로 만들어진 것이라고 주장했다. “오리지널 레빌 랜섬웨어의 기능들을 강화하기 위한 코드들이 발견됩니다. 아직 대단히 위험해 보이지는 않습니다만 누군가 레빌을 되살리려 한다는 사실만으로도 충분히 긴장되기는 합니다. 조만간 레빌의 이름을 건 랜섬웨어 활동이 시작될 것으로 보입니다.”

사이버 공격자들은 여러 개의 목숨이 있는 것처럼 되살아나곤 한다. 지난 4월 초, 블랙캣(Black Cat)이라는 사이버 범죄 조직은 펜더(FENDR)라는 공격 도구를 사용하기 시작했다. 이 펜더는 블랙매터(BlackMatter)라는 또 다른 사이버 갱단이 전용으로 사용하던 도구였다. 블랙매터는 진작에 해체된 그룹이었다. 이 때문에 블랙매터가 살아났다는 이야기가 나돌기 시작했다.

지난 11월에는 이모텟(Emotet)이라는 유명 봇넷이 10개월 동안 죽었다가 살아나기도 했다. 이모텟의 경우 국제 경찰 조직과 기술 기업들의 공조로 일망타진 되었던 조직이었다. 업계와 경찰은 이 큰 성과를 자축했지만, 지금은 다시 이모텟의 활동을 추적하는 입장이 되었다.

캘로우는 “랜섬웨어를 비롯해 여러 사이버 범죄 행위는 대단히 짧은 기간에 큰 수익을 남긴다”며 “그냥 사라지기에는 유혹이 너무 크다”고 말한다. “큰 돈을 비교적 쉽게 벌어본 사람들이 다른 일을 시작하기는 힘들죠. 그렇기 때문에 범죄자들은 어떤 고난과 역경도 극복하고 다시 살아나 나쁜 짓을 시작하는 겁니다. 범죄로 인해 얻는 것이 이렇게 많다면 국제 공조로 이들을 없앤다는 게 불가능합니다.”

3줄 요약
1. 죽은 줄 알았던 레빌 랜섬웨어, 되살아난 증거들이 하나 둘 나오고 있음.
2. 물론 예전처럼 강력한 레빌은 아직까지 아닌 것으로 보임.
3. 그러나 아무리 죽여도 되살아나는 범죄 조직의 속성이 다시 한 번 드러남.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)