Home > 전체기사

[bnTV] 요즘 가장 악명이 높은 랜섬웨어 해커조직 4곳은?

  |  입력 : 2022-11-01 15:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
해킹 기술 필요 없는 ‘소셜 엔지니어링’ 공격에 우버 등 대형 기업도 당했다
가장 활발하게 활동하는 LockBit 랜섬웨어 빌더 유출, 사이버 범죄 조직도 내부자 위협?
데이터 삭제해 버리는 이상한 랜섬웨어 ‘BlackCat’, 이란 사태에 뭉치는 해커들



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 18화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 요즘은 단풍을 즐겨야 될 때인데, 곽 이사님을 비롯한 보안 담당자들은 사실 컴퓨터 모니터 앞에서 사이버 범죄자들, 칙칙한 사이버 범죄자들하고 전쟁에 신경을 써야 돼서 참 저도 마음이 아픈데요. 이사님, 요즘에 어떤 일로 신경을 많이 쓰고 계신지요?

■ 곽경주 이사 최근에 중소기업 대상으로 랜섬웨어 공격이 너무 많아서요. 훨씬 활발해졌어요. 그래서 그거 대응하느라 바쁘게 지내고 있습니다.

[우버 해킹 사건]
□ 권준 국장 보안 대책도 사실 중소기업은 약하기 마련이죠. 특히, 최근 발생한 수많은 해킹 사건 가운데에서는 전 세계적으로 ‘우버’ 해킹 사건이 이슈가 되는 것 같아요. 해킹범이 10대라는 얘기도 있고 그 다음에 국내 대기업이라든가 MS 이런 곳들을 해킹한 ‘LAPSUS$’ 조직이라는 얘기도 있었고요. 이번에 해킹 수법 자체도 본인(해킹범)도 얘기했지만 “특별한 해킹기술 안 썼다. 그냥 ‘Social Engineering’을 해서 직원한테 접근해서 (해킹)했다”라는 식으로 보도가 나와서 이슈가 많이 된 것 같거든요. 그래서 이사님이 보시기에 이번 사건 관련해서 특색 있는 부분, 그리고 이번 사건을 계기로 기업들이 신경을 써야 될 것은 무엇이 있을까요?

■ 곽경주 이사 우버(Uber)도 보면은 “서드파티 회사, 외주 업체 직원을 통해서 침투를 했다”라고 알려졌는데, LAPSUS$가 하는 기존의 방식들이랑 되게 비슷해요. 뭐냐 하면 유출되어 있는 계정을 이용한다든가, 그리고 나서 이제 Social Engineering, 그리고 ‘Push Notification’이라고 (계정) 2차 인증 알림을 (계정 관리자에게) 계속 띄우면서 피로도를 올리는 것이죠. 올린 다음에 그 와중에 그 해당 외주 직원과 관계가 있는 클라이언트사가 될 수도 있고요. 그런 쪽에서 이제 연락을 한 것처럼 가장해서 2차 인증을 뚫고 들어가는 그런 식으로 공격을 하는 것인데요. 이런 공격들이 LAPSUS$ 뿐만 아니라 많이 늘어나고 있죠. 그래서 외주업체 직원에 대한 관리는 잘하셔야 될 것 같고요.

올해의 화두는 아무래도 ‘Zero Trust’죠. 믿고 있었던 모든 것들에 대한 신뢰를 일단 원점으로 돌리고, “원점에서 재평가하자”는 것이고요. 외주업체에 대한 신뢰, 그리고 내부 직원에 대한 신뢰 등 정상적인 행위에 대한 신뢰를 이제 모두 재평가하라는 의미인 것이고요. 내부 공모자 이슈도 지속적으로 있어서 그런 것들도 많이 신경 쓰셔야 될 것 같습니다.

□ 권준 국장 특별하게 아주 고도의 해킹 기술이 아니라 이렇게 사람을 속이는 것. 이중 인증을 했음에도 불구하고 사람들의 피로도를 높여가지고 말씀하신 것처럼 계속 푸시 알람을 해서 대충 처리할 수 있게 이런 식으로 심리를 이용하는 것들을 보면...

■ 곽경주 이사 참 영악하죠?

□ 권준 국장 젊은 친구들인데 대단한 것 같다는 생각도 들고, 영악하다는 생각도 들고 그렇습니다.

▲[곽경주의 다크웹 인사이드] 18화 시작 화면[이미지=보안뉴스]


[LockBit 랜섬웨어 빌더 유출]
□ 권준 국장 다크웹 랜섬웨어 조직 중에서는 ‘LockBit’이 지금 가장 핫한 단체인데 여기서도 또 사건이 있었더라고요. ‘LockBit 3.0’ 빌더(Builder)가 공개가 돼서 이것을 또 활용하게 되면 범죄가 늘 수도 있고, 또 LockBit 내부의 내부자 위협? 이런 것들도 이슈가 된 것 같은데요. 이번 사건에 대해서 설명을 해주신다면?

■ 곽경주 이사 일단 LockBit은 너무나 유명한, 가장 활발하게 활동 중인 공격 그룹이고요. 이 빌더라는 것이 공개됐다라는 것이 뭐냐면 빌더는 악성코드를 만들어 주는 거예요. 만들어 주는 도구이고, LockBit 같은 경우에 수많은 파트너 범죄자들을 데리고 운영을 하고 있는데 그들(파트너 범죄자들)이 악성코드가 필요하겠죠? 그런데 악성코드만 필요한 것이 아니라 이게 랜섬웨어고 암호화를 시키는 것이니까 ‘복호화’ 도구도 필요해요. 돈을 받아서 복호화를 해줘야 하니까 그런 것들까지 자동화를 시켜놓은 것이거든요. 그런 빌더가 공개가 된 것이고요. 그건 ‘Github’라는 그런 리포지토리(Repository) 통해서 (유포가) 되고 있는데요.

이게 이렇게 된 이유는 LockBit 리더들과 개발자 및 조력자들 간의 갈등인 것 같습니다. 공격자 중에 개발자가 리더에게 불만을 품고 그것(빌더)을 공개한 것인데, 이게 LockBit의 범죄 비즈니스에 심대한 영향을 미치느냐 사실 그 정도까지는 아니라고 보고 있고요. (빌더 공개보다는) 그들의 신상을 밝히는 것이, 공개하는 것이 제일 (영향이) 크죠. 그런데 그 정도까지는 아니었고 그들이 사용하는 도구 중에 일부가 공개가 된 것인데요.

그럼에도 불구하고 약간의 피해는 있습니다. LockBit의 명성이 일단 깨졌고요. 어느 정도 생채기를 입혔고 그리고 보안 쪽의 리서처(Researcher)들이 이 빌더를 계속 분석하고 있어요. 이 빌더를 통해서 이들(LockBit)의 수준도 알 수 있고, 암호화 부문에서 취약한 부분이 있다면 그런 것도 찾아낼 수 있는데, 아직까지 그런 것을 찾아내지는 못한 것 같고요. 그 다음에 조금씩 더 연구보다 보면 파훼법도 찾아낼 것 같습니다. 그런데 조금 우려되는 사항은 ‘카피캣(Copycat)’들이 많이 생길 것 같아요. LockBit의 도구가 워낙 잘 만들어져 있다 보니까 이것을 활용해서 본인들의 큰 노력 없이 LockBit처럼 행세를 할 수도 있는 것이고요. (랜섬웨어를) 비슷하게 만들어서 또 다른 랜섬웨어 범죄를 일으킬 수도 있고요.

[이란 정부에 맞서는 해커들]
□ 권준 국장 다크웹에 워낙 사이버 범죄들이 많고 마약 이런 쪽으로도 활용하지만 사실 (다크웹을) 만든 목적 자체가 (국가의) 검열을 피해서 그곳에서 자유롭게 목소리도 내고 토론도 하고 그런 역할도 있었잖아요. 최근에 이와 비슷한 이슈가 있었던 것 같은데요. 이란의 여성이 히잡을 안 썼다가 체포돼서 3일 만에 죽고 난 다음에 이란에 지금 반정부 시위가 많이 일어나고 있거든요. 그런데 이를 지원하기 위해서 해커들이 다크웹에서 활발하게 활동을 한다. 이런 소식을 접했거든요. 그런 부분에 대해서는 어떻게 보시나요?

■ 곽경주 이사 지금 많은 해커들이 (이란 반정부 시위에) 동조를 하고 있어요. 다크웹 포럼 같은 곳을 보면 해커들이 이란 (정부)에서 인터넷 통제를 하는데 그런 것들을 우회할 수 있는 도구나 이런 것들을 (지원하며) 도와주고 있어요. 그리고 텔레그램(Telegram) 상에 채널도 하나 만들어져 있는데 줄여서 ‘AIG(Official Atlas Intelligence Group)’라고 하는 그런 Telegram 채널이 만들어져서 그곳에 900명이 넘는 멤버들이 들어가서 활동을 하고 있고, 여기서 (이란) 정부의 정보들을 계속 주고 있습니다.

□ 권준 국장 그 친구들도 결국 범죄자들이잖아요?

■ 곽경주 이사 이란 입장에서는 범죄자들이죠. 왜냐하면 이란 내에 라두 민감한 시설의 위치라든가 이런 것들도 알려주고 있어서 민감한 부분이 있습니다.

[이상한 랜섬웨어 BlackCat]
□ 권준 국장 얼마 전에 잠깐 이사님께서 소개해주신 그룹이에요. ‘BlackCat’이라는 랜섬웨어 조직인데요. 그런데 이번에 해당 랜섬웨어에서 ‘아예 데이터를 삭제해버리는, 파괴해버리는 기능까지 넣었다’는 얘기가 있어서요. 사실 이것은 기존 랜섬웨어의 개념을 뒤집는다고 해야 하나요. 어차피 암호화했다가 돌려주려고 하는 것인데, ‘이것(암호화 된 파일)을 아예 파괴해버린다’는 것은 또 좀 새롭더라고요. 그래서 이런 현상들 아니면 이 조직의 행보를 어떻게 봐야 되는지 궁금합니다.

■ 곽경주 이사 ‘Exmatter(BlackCat 개발 랜섬웨어)’ 같은 경우에는 ‘싱크(Sync)’라는 것이 있고 ‘이레이저(Eraser)’라는 모듈 2개가 같이 동작을 하는데요. 싱크라고 하는 것은 피해자 (컴퓨터) 시스템의 드라이브를 스캔해서 (해킹) 대상 파일들을 목록화 시키고 그 다음에 이것을 외부로 탈취해 나가는 그런 작업을 하는 도구로 ‘모듈(Module)’이라고 보시면 될 것 같고요. 이레이저 같은 경우에는 금방 말씀하신대로 데이터를 파괴시킵니다. 데이터를 파괴시키는 과정인데요.

이게 좀 특이하죠? 그들이 이것을 만든 이유를 생각을 해보면 랜섬웨어 암호화나 각종 기능을 계속 개발하는 것 자체가 부하가 걸리고 ‘크게 (암호화 기능이) 굳이 필요하냐?’라는 생각을 가지고 (제작)한 것 같은데요, 지금 이런 식으로 하면 (데이터를) 파괴시켜 버린다고 했을 때는 이 싱크 모듈도 잘 만들어야 될 것 같아요. 협상에 유리한 데이터만 골라서 탈취를 하고 그 다음에 파괴를 하는 것이기 때문에요. 그런데 사실 이것도 상당한 개발 소요가 있을 것 같거든요. 왜 이렇게 하는 것인지 BlackCat이 이 방송을 보면 연락 한번 주시면 감사하겠습니다.

□ 권준 국장 (웃음) 알겠습니다.

[최근 한 달간 다크웹 해커 조직 활동 및 통계]
□ 권준 국장 워낙 이슈가 많았네요. 말씀해주신 주요 이슈 외에 혹시 한 달 사이 특이했던 동향이라든가, 그 다음에 저희가 항상 소개하지만 피해 국가, 피해 기업 현황 통계를 한번 정리해 주신다면?

■ 곽경주 이사 우선 한 달간 4개의 신규 랜섬웨어 사이트가 (다크웹 내에) 추가됐어요. 그리고 한 개의 랜섬웨어 사이트가 구조적인 변경이 있었고요. 그래서 최근에 신규 랜섬웨어 사이트가 굉장히 많아지고 있어요. 거의 매달 계속 생겨나고 있다고 보시면 될 것 같습니다.

그리고 활발했던 랜섬웨어 그룹은 당연히 압도적으로 LockBit이고, 그 다음으로 BlackBasta, BlackCat, AvosLocker 이런 곳들이 열심히(?) 활동을 하고 있습니다.

피해 기업이 (가장 많이) 있는 국가는 미국이 압도적으로 많고요. (피해) 업권 같은 경우에는 Manufacturing이라고 해서 제조업 이런 곳들이 피해를 많이 입는 상황입니다.

□ 권준 국장 이사님, 어디 단풍놀이라도 갖다 오셔야 되는데요. 바쁘셔서 가능하시겠어요?

■ 곽경주 이사 가긴 가야죠, 짬 내서 가야죠. 하하하...

□ 권준 국장 계속 날씨가 좋으니까, 그래도 가끔 바람도 쐬시고요. 오늘도 좋은 말씀해주셔서 너무 감사드립니다.

■ 곽경주 이사 네, 감사합니다.
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)