보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

이번엔 락빗 랜섬웨어 조직! 다크웹에 국내기업 자료 유출 공개 협박

  |  입력 : 2020-12-07 15:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 공격과 동시에 정보 유출한 것으로 보여
최근 ‘이중협박’ 전략 구사하는 공격조직 늘어나 기업 대책 마련 필요


[보안뉴스 이상우 기자] 다크웹 유출정보 공개 사이트에 국내 기업정보가 또 다시 등재됐다. 보안전문 기업 NSHC에 따르면 국내 한 CAE 시뮬레이션 기업이 락빗(LockBit) 랜섬웨어조직으로부터 공격을 받았으며, 협상이 결렬될 경우 약 4일 뒤 공격 과정에서 유출한 자료가 다크웹에 공개될 수 있다고 협박당하고 있는 것으로 알려졌다.

현재 해당 기업의 홈페이지 등 서비스는 문제 없이 작동하는 만큼 웹 서버는 공격당하지 않은 것으로 추정된다. 다만, 락빗 랜섬웨어 조직이 정보를 유출했다고 협박하는 것으로 보아 비즈니스와 관련된 사내 PC나 서버가 공격 당했을 가능성이 제기된다.

[자료=NSHC]


락빗은 지난해 중순부터 활동하기 시작한 서비스형 랜섬웨어(RaaS)다. 개발자는 랜섬웨어 개발 및 지불 사이트 제작 등을 담당하고 유포자를 모은다. 유포자는 이를 이용해 기업 및 기관 등을 감염시키고, 기업으로부터 건네받은 ‘몸값’을 개발자와 분배하는 방식이다.

맥아피가 올해 4월 발표한 보고서에 따르면 공격자가 특정 기업 네트워크에 침투해 약 3시간만에 서버 25대 및 워크스테이션 225대를 암호화했다. 공격자는 관리자 ID와 비밀번호를 무차별 대입하는 ‘브루트 포스’ 기법으로 VPN 계정을 획득했으며, 이를 통해 빠르게 랜섬웨어를 설치할 수 있었다는 설명이다.

락빗 랜섬웨어의 주목할만한 특징은 같은 네트워크에 연결된 다른 PC에 랜섬웨어를 자동으로 배포하는 수평이동 기능을 포함하고 있다는 점이다. 랜섬웨어가 실행된 기기의 데이터를 암호화하고, 동시에 SMB 프로토콜을 통해 다른 PC 및 서버와 연결한다. 연결 이후 파워셸 명령을 통해 해당 기기에서도 랜섬웨어를 내려받고 원격 실행하는 작업을 자체적으로 수행하므로 감염이 확산될수록 확산 속도는 더욱 빨라지게 된다.

락빗도 채택한 이중협박 전략
락빗 랜섬웨어 조직은 지금까지 랜섬노트를 통해 암호화한 파일 하나를 자신의 이메일로 보내면 이를 복호화해 돌려주겠다고 안내했으며, 파일 복구 가능성을 피해자에게 시연하며 돈을 지불할 가능성을 높였다.

이와 달리, 이번 공격에는 기업 데이터를 암호화하는 동시에 정보를 유출하고, 협상에 응하지 않으면 정보를 공개하겠다는 ‘이중협박’ 전략을 선택한 것으로 보인다.

▲락빗 랜섬웨어 조직이 과거 사용한 랜섬노트[자료=맥아피]


이중협박은 전 세계적으로 악명을 떨친 메이즈 랜섬웨어 조직이 주로 채택하는 방식이었으나, 이 전략이 효과적이라고 판단했는지 최근 발생하는 랜섬웨어 공격은 대부분 이중협박 전략을 구사하고 있다. 실제로 메이즈는 지난 11월, 은퇴를 발표하면서 지금까지 협상이 결렬된 기업 250여개의 정보를 자신의 일반 웹사이트를 통해 모두 공개하기도 했다. 또한, 클롭 랜섬웨어 조직 역시 지난 주, 이랜드그룹에서 유출한 신용카드 정보라고 주장하며 10만 건을 공개한 바 있다.

이러한 공격 추세 때문에 기업은 네트워크 보호나 암호화 프로세스 차단 등 랜섬웨어에 대응하는 솔루션을 필수적으로 도입하고, 유출된 파일을 상대방이 악용할 수 없도록 자체적으로 보호하는 등의 대책이 필요할 것으로 보인다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비
      
마이크로포커스 2주 배너게재 4월23일~5월6일까지 2주게재