[아이뉴스24 김혜경 기자] 지난해 7월 카세야(Kaseya) 공급망 공격으로 전 세계를 공포에 몰아넣었던 '레빌(REvil)'은 미국 정부의 압력과 국제 공조 수사로 사실상 해체된 것으로 알려졌다. 그러나 올해 5월 레빌의 다크웹 사이트가 활성화되면서 부활설이 제기되기 시작했다. 레빌은 러시아 기반 랜섬웨어 그룹으로 '소디노키비(Sodinokibi)'로도 알려졌다.
최근 이들이 국내 한 제조업체의 데이터를 탈취했다고 주장하면서 이목을 끌고 있는 가운데 기업들의 주의가 요구된다. 지난 몇 년간 서비스형 랜섬웨어(RaaS) 형태의 소디노키비가 국내에서도 불특정 다수를 대상으로 꾸준히 유포됐다. 다만 레빌로 추정되는 조직이 특정 한국기업을 겨냥해 공개적으로 협박한 사례는 이번이 처음인 것으로 보인다.
◆ "1.6TB 데이터 탈취"…유출된 자료는 2건?
보안업계에 따르면 지난 2일 오후 레빌은 자신들이 운영하는 다크웹 페이지인 '해피 블로그(happy blog)' 피해기업 명단에 국내 대형 제조기업 A사의 이름을 올렸다. 이들은 데이터 샘플을 공개하면서 "도면과 계약서 등 1.6테라바이트(TB) 규모의 데이터를 탈취했고 인프라 액세스 권한을 얻었다"고 주장했다. 이 같은 공지와 함께 사이트에는 해당 기업의 자료로 추정되는 설계도면이 첨부돼있다.
이번 사건의 쟁점은 세 가지다. ▲해당 조직이 카세야를 공격한 레빌과 동일한 지 ▲유의미한 내부 데이터를 탈취했는지 ▲피해기업이 한국 본사인지 여부다. 우선 유출 자료에 사명이 기재된 것은 맞지만 외부에도 공유되는 자료라는 것이 회사 측 설명이다.
A사 관계자는 "한국 본사는 아니고 해외법인 계정에서 이슈가 있었다"며 "해당 자료가 어느 지사에서 유출됐는지는 아직 명확하지 않은 상황"이라고 말했다. 이 관계자는 "본사 차원의 방어는 사전에 완료했고 만일을 대비해 보안업체에서 분석을 진행하고 있는 중"이라며 "관련 부처와 유관기관도 인지는 하고 있다"고 덧붙였다.
일반적으로 랜섬웨어 조직은 물밑에서 기업과 몸값 협상을 진행한다. 데이터를 암호화한 후 복호화를 협상 대가로 거액을 갈취하는 식이다. 협상 과정에서 상대방이 제시한 몸값이 마음에 들지 않을 경우 일부 자료를 추가로 공개하면서 압박을 하기도 한다.
레빌 조직이 훔쳤다고 주장하는 1.6TB 규모의 데이터 중 현재까지 공개된 자료는 두 건이다. 몸값 협상을 본격적으로 하겠다는 의도인지 유의미한 데이터 탈취는 실패했는지 여부는 아직까지 불분명하다. 후자의 경우 기업이 피해를 복구했거나 몸값 협상에 응하지 않아 이름을 공개했을 가능성도 있다.
문종현 이스트시큐리티 이사는 "공격자가 랜섬웨어 유포 후 기업·개인들이 연락할 때까지 기다리지 않고 일부 데이터를 의도적으로 외부에 흘리는 방식으로 압박하거나 이슈화하는 것이 최근 추세"라면서 "협상에서 유리한 위치를 선점하겠다는 일종의 심리전"이라고 말했다.
◆ 'RaaS 소디노키비' 대량 유포한 비너스락커·리플라이
레빌 랜섬웨어는 RaaS 형태로도 유포된다. RaaS는 랜섬웨어 주문 제작 대행 서비스다. 특정 집단이나 개인이 랜섬웨어를 제작해 범죄조직에 공급하고 수익을 공유하는 형태다. 다크웹 등을 통해 암호화폐로 거래되므로 익명성이 보장되고 전문지식이 없는 일반인도 접근 가능하다. 랜섬웨어 제작자와 유포자가 다를 수 있으므로 범죄 분석을 어렵게 만든다는 것이 특징이다.
소디노키비 랜섬웨어는 2019년 2분기 국내에서 신종 랜섬웨어로 알려지면서 같은해 3·4분기 최대 유포 랜섬웨어로 꼽혔다. 2020년 4분기까지 국내에서 악명을 떨친 바 있다. 당시 이스트시큐리티는 한국에 유포되는 소디노키비 배후에는 '비너스락커(VenusLocker)'와 '리플라이 오퍼레이터(Reply Operator)'라는 그룹이 있다고 봤다. 헌법재판소와 공정거래위원회 등 기관을 사칭하거나 부동산, 입사지원서 등으로 위장한 후 이메일 첨부파일을 통해 유포하고 있다고 분석했다.
소디노키비는 국내에서 꾸준히 탐지됐지만 원제작자와 유포자가 다른 경우가 대부분으로 알려졌다. 개인과 기업을 가리지 않고 대량 유포한 후 몸값을 갈취하는 방식이 이용됐다면 이번 사건의 경우 특정 대상을 겨냥해 공격했을 가능성도 배제할 수 없다는 것.
문 이사는 "기존 제작자가 배포한 것인지 다른 조직이 RaaS를 구매한 후 유포한 것인지는 현재 알 수 없다"며 "몸값 협상이 제대로 진행되지 않을 경우 공격자가 추가 자료를 유출할 수도 있으므로 지속적인 다크웹 모니터링이 필요하다"고 말했다.
◆ 다시 살아난 레빌 사이트?…'그놈들' 맞을까
레빌은 2019년 4월 처음 출현했다. '갠드크랩(GrandCrab)'이 활동을 중단한 시점과 맞물리면서 두 조직이 서로 연관성이 있다는 주장이 제기되기도 했다. 이들은 지난해 7월 초 카세야가 개발한 시스템 관리 제로데이 취약점을 악용해 1천개가 넘는 기업 네트워크를 손상시켰다. 이어 세계 최대 식품업체인 JBS를 공격한 후 미국 정부의 집중 견제를 받기 시작했다.
같은 달 중순 레빌의 다크웹이 폐쇄됐다. 잠적 이유를 두고 각종 추측이 난무하던 중 11월 인터폴은 국제공조를 통해 레빌 조직원들을 체포했다고 발표했다. 이후 올해 5월 레빌의 사이트가 다시 열리면서 이들이 카세야를 공격한 레빌이 맞는지 여부를 둘러싼 갑론을박이 이어졌다.
어베스트(AVAST) 등 보안업체 분석가들이 새롭게 발견된 랜섬웨어 샘플을 분석한 결과 레빌 랜섬웨어와 유사성이 큰 것으로 나타났지만 기존 레빌 조직원이 가담한 것인지 단순 모방한 것인지는 논란이 분분하다.
다만 전 세계의 노력에도 불구하고 이 같은 논란이 제기된다는 것은 랜섬웨어 그룹들이 얼마든지 다시 등장할 수 있는 가능성을 시사한다. IBM에 따르면 랜섬웨어 조직은 평균 17개월 동안 활동하며 이후 사라지거나 조직 재정비를 통해 다시 등장하고 있다.
익명을 요구한 한 보안전문가는 "보안 수준이 높은 본사를 뚫기보다는 상대적으로 침투가 쉬운 해외법인을 공격, 데이터 일부를 획득한 후 이를 다시 공격에 이용하는 추세"라면서 "해외지사의 보안 투자도 본사만큼 늘려야 한다"고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기