보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

이스라엘 대학에서 발생한 랜섬웨어 공격, 삼중 협박이 아니라 삼중 동기

입력 : 2023-02-23 13:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한 대학에서 랜섬웨어 공격이 발생했는데, 공격자들이 원하는 게 한두 가지가 아닌 듯하다. 돈을 벌고자 하는 건지, 욕을 하고 싶은 건지, 복수를 하고 싶은 건지 도무지 알 수가 없다. 아니, 어쩌면 셋 다일 수도 있다.

[보안뉴스 문가용 기자] 이스라엘의 최고 교육 기관 중 하나인 테크니온이스라엘공과대학(Technion Israel Institute of Technology, IIT)이 최근 다크빗(DarkBit)이라는 해킹 그룹의 랜섬웨어 공격에 당했다. 공격자들은 80 비트코인을 요구했는데, 협박 편지는 반유대주의 정서가 노골적으로 드러난 혐오 문구들로 가득했다. 80 비트코인은 공격이 발생한 당시를 기준으로 했을 때 170만 달러 정도에 해당하는 돈이다.

[이미지 = utoimage]


대학 측은 해당 사건을 2월 12일에 보고했다. 보안 업체 블랙베리(BlackBerry)의 위협 연구원인 드미트리 베스투제프(Dmitry Bestuzhev)는 “공격자들이 사용한 악성 임플란트는 실제 공격 발생 수시간 전에 컴파일링 되었지만, 실제 피해자 네트워크에 침투한 건 2월 12일 이전 시점으로 보인다”고 설명한다. 블랙빗은 IIT를 협박할 때, “48시간 안에 돈을 내지 않으면 가격을 30% 인상시키겠다”고 몰아붙이기도 했었다.

아직 IIT 측은 피해 규모, 침해 경로, 최초 침투 방법 등 공격에 대한 세부적인 내용은 공개하지 않고 있다. 하지만 이번에 사용된 랜섬웨어는 고(Go) 언어를 기반으로 하고 있으며, 눈에 띄는 기능들을 탑재하고 있다는 사실은 알려지고 있다. 이 랜섬웨어는 AES-256 알고리즘으로 파일을 암호화 하며, 멀티스레딩을 통해 암호화 속도를 높인다는 특징을 가지고 있다고 한다.

하지만 베스투제프는 이번 랜섬웨어 공격이 돈을 벌기 위해 감행된 것이 아니라 지정학적인 이유 때문에 벌어진 일이라고 주장한다. “협박 편지에 적힌 내용, 공격자의 트위터 활동, 텔레그램 프로파일 등을 살펴보면 공격자의 동기가 분명히 나타납니다. 이들은 핵티비스트들이지 돈을 벌고자 하는 집단이 아닙니다. 둘 다일 수도 있고요.”

조사를 더 진행했을 때 세 번째 동기가 발견되기도 했다. IIT의 전 직원이 내부 정보를 활용해 공격을 하고 있는 듯한 뉘앙스가 일부 트윗을 통해 노출된 것이다. “기술 담당 부서에게 전달할 말이 있다. 다음부터 사람 해고할 때 한 번 더 생각해 보는 걸 추천한다.”라는 트윗이 있었던 것이다. “물론 공격자의 트윗을 전부 믿을 수는 없습니다. 일부러 시선을 돌리기 위해 그런 트윗을 올렸을 수도 있습니다. 하지만 내부자 위협의 가능성을 조사해 볼 가치가 있는 건 분명합니다.”

베스투제프는 “대학 기관이 사이버 공격에 당하면 시끄러워지는 게 보통”이라며 “핵티비스트들의 경우 자신들의 메시지를 전파하기 위해 소란을 일으키는 걸 선호한다”고 말한다. “대학교 안에는 수많은 사람들이 수많은 목적을 가지고 서로 조우하고 친교하고 활동합니다. 사이버 공격이 일어나면 활동이 방해를 받고, 말들이 나오기 시작하죠. 공격자들 입장에서는 감사한 상황이 됩니다. 자신들이 전달하려는 메시지가 증폭되는 효과가 나타나기 때문입니다.”

엔드포인트 보안 전문 회사인 태니엄(Tanium)의 연구 국장 멜리사 비쇼핑(Melissa Bischoping)은 “다양한 동기를 통해 이뤄진 사이버 공격이라 흥미롭다”며 “복수도 할 겸, 돈도 벌 겸, 정치적 신념도 드러낼 기회를 공격자가 찾은 듯하다”고 분석한다. “일단 다크빗이라는 이름 자체는 현재까지 보안 업계가 발견하지 못한 것입니다. 즉 완전히 새로운 단체일 수 있다는 것이죠. 다만 아직 좀 더 많은 증거 자료가 있어야 새로운 단체인지, 기존 단체와 관련이 있는 자들인지 정확히 판단할 수 있을 것 같습니다.”

그러면서 비쇼핑은 “랜섬웨어라는 게 점점 다목적 도구로 변해가고 있다”고 짚는다. “기본적으로는 돈을 벌기 위한 수단인 게 맞습니다만, 이 랜섬웨어로 시선을 끌고 다른 공격을 한다든가 정치적 메시지를 표출하는 식으로 다양하게 활용하는 게 요즘 추세입니다. 다크웹에서 손쉽게 구할 수 있기도 하고, 꽤나 큰 파장을 일으킬 수도 있다는 게 랜섬웨어를 더 유용한 도구로 만들고 있습니다. 특히 공격 사실을 드러내고자 하는 부류의 해커들에게는 랜섬웨어가 꽤나 안성맞춤인 도구가 되죠.”

보안 업체 키퍼시큐리티(Keeper Security)의 CEO 대런 구시온(Darren Guccione)은 한 발 더 나아가 “단 한 가지 목적만을 위해 사이버 공격을 기획하고 실행한다고 믿는 건 순진한 것”이라고 지적한다. “오히려 복합적인 이유가 쌓여서 사이버 공격이라는 형태로 현현되는 게 더 자연스러운 현상입니다. 다만 전면에 더 노골적으로 드러나는 목적이 있고, 숨어 있는 목적이 있는 것이죠. 사람이라는 게 원래 딱 하나만을 위해 움직이는 일은 잘 없잖아요. 우리는 생각보다 복잡한 존재이죠.”

그렇기 때문에 구시온은 “더 다양한 관점에서 방어 계획을 세워야 한다”고 강조한다. “우리 회사는 돈이 없으니 랜섬웨어 공격에 당하지 않을 거야, 라는 생각은 오래 전에 폐기되었어야 할 사고방식이라는 겁니다. 누가 어떤 목적으로 어떤 회사를 공격할 지 모르는 겁니다. 심지어 사이버 공간에는 재미 삼아 공격하는 자들도 엄청나게 많죠. 고른 방어 체계가 필요합니다.”

3줄 요약
1. 한 이스라엘 대학의 랜섬웨어 공격, 공격자는 큰 금액을 요구.
2. 그런데 협박 편지는 온갖 정치적 문구로 도배되어 있음.
3. 심지어 해고된 것에 대한 보복을 암시하는 문구도 발견됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)