러시아-우크라이나 사이버전에 대한 다크웹 내부의 복잡한 시선
인터넷의 근간이 흔들릴 수 있는 ‘BGP Hijacking’ 기법이 사용된 클레이스왑 사건
국내 조선분야 대기업, 다른 랜섬웨어 조직에 의해 2번 감염되기도
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 4화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.
■ 곽경주 이사 안녕하세요 곽경주입니다.
□ 권준 국장 저희 다크웹 인사이드가 3회까지 가면서 인기가 쑥쑥 올라가는 것을 느끼고 있는데요. 혹시 이사님께서 보안이나 다크웹에 대한 관심들이 좀 높아지고 있다 라는 사실을 조금 느끼시고 계신가요?
■ 곽경주 이사 네, 일단 조회수가 마지막 영상은 4천이 넘더라고요. 그리고 댓글들도 점점 많아지고 관심도 많아지고 있다는 것이 좀 느껴지고요. 저희 회사(S2W) 내부나 주변 분들도 다크웹에 대해서 저에게 여쭤보는 분들이 많아져 피부에 와닿는 것 같습니다.
[러시아-우크라이나 사이버전 이슈]
□ 권준 국장 저희가 사실 지난 시간에 러시아와 우크라이나 사이버전 얘기를 했는데요. (지금 현재) 러시아가 우크라이나를 전면 침공했어요. 다크웹에서 아니면 보안 전문가들 사이에서 러시아의 우크라이나 사이버 공격에 대한 추가적인 얘기들이 나오고 있는 것이 있을까요?
■ 곽경주 이사 네, 최근에 우크라이나를 대상으로 한 ┖디도스(DDoS)┖ 공격이 있었고요. 디도스라고 하면 대규모 트래픽 대규모 통신량을 발생시켜서 특정 인프라나 특정 서비스 같은 것을 마비시키는 공격을 얘기하는데요. 여기에 대해서 ‘카도 시큐리티’라고 하는 영국 기반의 회사가 있는데, TMI로... 제가 아는 분이...대표입니다. 하하하하핫! 에헷
그 친구가 작성한 보고서를 보면 상세한 내용들이 나오는데 미국의 ‘내셔널 시큐리티 카운슬’에서 러시아의 ‘GRU’가 이 공격을 감행했다라고 트위터에 올린 것이 있습니다. 그리고 뒤에 가서 또 말씀드리긴 할텐데 이 공격에도 ‘BGP Hijacking’이 사용됐어요. BGP Hijacking에 대해서는 뒤에가서 조금 더 설명드리기로 하겠고요. 암튼 이러한 이슈들이 있었습니다.
[러시아-우크라이나 전쟁과 관련된 다크웹 내 주요 이슈]
□ 권준 국장 최근 다크웹에서 요즘에 사건 사고들이 많은데 사이버전과 함께 혹시 다크웹 내에서 이슈가 됐던 사항들 조금 짚어주실 수 있을까요?
■ 곽경주 이사 최근에 우크라이나-러시아 사이버전 이슈가 대두되면서 다크웹 내에서는 약간 좀 엉뚱하게도 스캐머(Scammer)들이 굉장히 많아졌습니다. 약간 사기꾼같은 유형인데요. 우크라이나와 러시아의 데이터를 팔겠다라고 하면서 정작 실제 데이터를 보면 굉장히 오래전에 이미 유출됐었던 그런 데이터를 판매하고 있는 것들이 있었고요.
또한, 최근에 또 랜섬웨어 그룹들 같은 경우에 그 중에 하나는 자기네 공격 대상에서 우크라이나와 영국, 독일, 그리고 우크라이나 사태와 연관돼 있는 많은 국가들을 공격 대상에서 제외하겠다고 올리는 곳이 있어요. 그 이유는 우리는 정치적 성향을 띠고 공격을 하는 그룹이 아니기 때문에 현재 이슈가 있는 그런 국가들은 공격하지 않겠다라는 식으로 올리는 곳도 있고요.
그래서 다각적인 관점에서 봤을 때 다크웹에 있는 공격자들이 러시아-우크라이나 이슈에 민감하게 예민하게 반응을 하고 있는 부분들이 있습니다.
□ 권준 국장 아무래도 정치에 연관이 되면 결국 해당 국가 사법당국의 감시를 받게 되고 적발이 될 수도 있어 아마 그런 부분에 있어서는 우려를 많이 하는 것 같네요.
[클레이스왑 해킹 사건]
□ 권준 국장 우리나라의 경우는 얼마 전에 이슈가 됐던 것이 결국 ‘디파이 서비스’라고 해서 그 중에서도 이제 ‘클레이스왑’에서 해킹 사건이 발생해서 큰 이슈가 됐잖아요. 이번 사건과 관련해 어떻게 해킹을 했는지 등을 좀 쉽게 설명을 해주신다면요?
■ 곽경주 이사 클레이스왑 해킹 공격과 같은 경우에는 최초 타임라인부터 보시게 되면 실제 공격 자체는 올해 2월에 발생했지만 사전 준비 자체는 지난해 6월까지 올라갑니다. 굉장히 오래전부터 공격을 준비하고 있었고, 서비스를 공격한 방법이 ‘BGP Hijacking’이었다고 할 수 있는데요.
‘BGP Hijacking’이라고 하는 게 뭐냐면 쉽게 말씀드리면 저희가 도로에서 운전을 할 때 도로 표지판이 있지 않습니까? 저희가 사용하는 인터넷에도 그런 표지판 같은 것이 있습니다. 이게 ‘라우터’라고 하고, 해당 라우터에게 어디로 가야 되냐라고 신호를 보내는 것이 BGP라고 보시면 되는데요. 이번에 같은 경우에는 클레이스왑 쪽에서 사용하는 라우터가 BGP Hijacking을 당해서 정상적으로 가야 되는 길을 잘못된 엉뚱한 길로 가게 만들었습니다.
이게 왜 주목받아야 되는 일이냐면 우리가 사용하는 인터넷의 근간을 흔들 수 있는 공격이기 때문입니다. 오래전부터 계속 이슈가 됐었고 이 부분에 문제가 있다고, 많은 학계와 업계에서 이슈를 제기해 왔었었는데 국내에서 이렇게 대규모라고 할 수 있는 이런 사건이 터진 것은 이번이 처음입니다.
당시 클레이스왑 쪽에 사용하고 있는 소스코드 같은 것이 있습니다. 그게 악성으로 바꿔치기가 됐어요. 정상적으로 뭔가 작동을 하는 기능들이 악성으로 기능하도록 공격자가 바꿔치기를 한 것이죠. 이렇게 바꿔치기한 방식은 좀 전에 말씀드린 BGP Hijacking인 것이고요. 카카오라든가 클레이스왑, 클레이튼 등에서 빠르게 대응을 해서 큰 피해가 발생하지는 않았지만 이런 공격이 시작됐다는 것 자체가 저희에게 시사하는 바가 좀 큽니다.
□ 권준 국장 그러면 결국은 인터넷 사용자들이 가는 길을 표지판을 잘못 인도를 해서 결국은 악성코드로 감염되는 길로 인도를 했다는 말씀이신거 같은데.
▲bmTV [곽경주의 다크웹 인사이드] 4화 시작 화면[자료=보안뉴스]
[한 달간의 다크웹 동향 분석]
□ 권준 국장 이제 우리 매번 할 수 있는 다크웹에서의 랜섬웨어 범죄조직들의 활동 현황이라든가 그 다음에 국가별 피해 통계들도 있고요, 이러한 내용들을 간단하게 요약해서 소개를 해주신다면요?
■ 곽경주 이사 전체적인 랜섬웨어 피해 기업들, 그리고 피해 국가의 비율은 작년이나 올해나 크게 변하지는 않고 있습니다. 제일 피해가 많은 국가는 역시나 이번에도 ‘미국’이고요. 그 다음이 ‘독일’, 그리고 ‘영국’ , ‘프랑스’ , ‘이탈리아’ 이런 순이고요.
그리고 업종 순으로 봐도 이제 제조업이 제일 많았고 그 다음에 비지니스 서비스, 컨슈머 서비스, 그리고 항상 빠지지 않는 호스피탈리티, 교통 분야 순으로 피해가 계속 발생하고 있고요.
한달 동안 피해를 입은 전체적인 피해기업 수는 120개 조금 넘는데요. 그 정도로 꾸준하게 피해를 받고 있어요. 그리고 새롭게 리브랜딩되는 랜섬웨어도 계속 생겨나고 있고요.
그리고 어제도 좀 이슈가 있었죠. 국내 대기업이었는데 저번에 저희가 찍을 때 얘기 드렸던 회사인데, 그 회사가 다른 랜섬웨어에 감염된 정황이 보여요. 그래서 어제 다크웹에 올라왔었는데.
□ 권준 국장 그러면 해당 기업 같은 경우에는 어떻게 한 번 감염됐었다가 한 번 더 다른 랜섬웨어에 다시 감염됐다고 봐도...
■ 곽경주 이사 네, 다른 랜섬웨어로 보입니다.
□ 권준 국장 그러면 같은 기업이 다른 랜섬웨어 조직에 의해서 두 번 감염된 사례가 될 수 있겠네요.
[새학기 시작, 원격수업에서의 보안대책]
□ 권준 국장 곧 3월이 다가오는데요. 그래서 3월에는 또 우리 학생들이 등교도 하고, 올해 같은 경우도 온라인 수업이라든가 원격강의 관련해서 보안 이슈들이 많이 제기되잖아요? 그래서 그 때 발생할 수 있는 보안 이슈하고 대비할 수 있는 사항들에 대해서 간단하게 소개를 해주신다면요?
■ 곽경주 이사 네, 최근에 온라인 수업이 활발해지면서 저희가 사용하는 화상 수업 프로그램들이 있지 않습니까? ‘줌’이라든가 여러 가지들이 있죠. 보통 줌을 많이 사용하시는 것 같은데.
최근에 보면 각 대학교라든가 교육부 같은 곳에서 지침이 내려온 것 같습니다. ‘줌 바밍’이라고 하는 공격이 있거든요. 줌 화상 수업에 참여할 수 있는 링크를 공개적으로 어디다가 올려두면 그것을 보고 악의적인 목적을 가진 공격자라고 해야 될까요? 장난치는 사람들이 함부로 들어와 가지고 이상한 사진을 올린다든가 (강의에) 훼방을 놓는 그런 경우들이 있죠.
그래서 그런 것을 조심하라, 조심하려면 어떻게 해야 하느냐에 대한 지침같은 것들이 있습니다. 그 수업이 시작되면 수업 채널을 잠그고 아무나 못 들어오게 하고 그리고 링크는 공개적인 곳에 올리지 말아야 한다는 등의 지침들이 있습니다.
□ 권준 국장 바바리맨이 온라인으로도 지금 막 나타나고 있는 거잖아요. 수업 시간에 음란 행위를 한다든가, 오프라인에서의 행위들이 온라인으로 점점 넘어가면서 자꾸 그런 것들이 사회적 이슈가 되는 것이 아닌가라는 생각을 해봤습니다.
□ 권준 국장 이번에도 중요한 보안수칙들 또 말씀해 주셨는데요. 앞으로도 다크웹 쪽 많이 모니터링 해주시고 소식 있으면 다음에 설명 부탁드리겠습니다. 이만 마치도록 하겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
인터넷의 근간이 흔들릴 수 있는 ‘BGP Hijacking’ 기법이 사용된 클레이스왑 사건
국내 조선분야 대기업, 다른 랜섬웨어 조직에 의해 2번 감염되기도
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 4화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.
■ 곽경주 이사 안녕하세요 곽경주입니다.
□ 권준 국장 저희 다크웹 인사이드가 3회까지 가면서 인기가 쑥쑥 올라가는 것을 느끼고 있는데요. 혹시 이사님께서 보안이나 다크웹에 대한 관심들이 좀 높아지고 있다 라는 사실을 조금 느끼시고 계신가요?
■ 곽경주 이사 네, 일단 조회수가 마지막 영상은 4천이 넘더라고요. 그리고 댓글들도 점점 많아지고 관심도 많아지고 있다는 것이 좀 느껴지고요. 저희 회사(S2W) 내부나 주변 분들도 다크웹에 대해서 저에게 여쭤보는 분들이 많아져 피부에 와닿는 것 같습니다.
[러시아-우크라이나 사이버전 이슈]
□ 권준 국장 저희가 사실 지난 시간에 러시아와 우크라이나 사이버전 얘기를 했는데요. (지금 현재) 러시아가 우크라이나를 전면 침공했어요. 다크웹에서 아니면 보안 전문가들 사이에서 러시아의 우크라이나 사이버 공격에 대한 추가적인 얘기들이 나오고 있는 것이 있을까요?
■ 곽경주 이사 네, 최근에 우크라이나를 대상으로 한 ┖디도스(DDoS)┖ 공격이 있었고요. 디도스라고 하면 대규모 트래픽 대규모 통신량을 발생시켜서 특정 인프라나 특정 서비스 같은 것을 마비시키는 공격을 얘기하는데요. 여기에 대해서 ‘카도 시큐리티’라고 하는 영국 기반의 회사가 있는데, TMI로... 제가 아는 분이...대표입니다. 하하하하핫! 에헷
그 친구가 작성한 보고서를 보면 상세한 내용들이 나오는데 미국의 ‘내셔널 시큐리티 카운슬’에서 러시아의 ‘GRU’가 이 공격을 감행했다라고 트위터에 올린 것이 있습니다. 그리고 뒤에 가서 또 말씀드리긴 할텐데 이 공격에도 ‘BGP Hijacking’이 사용됐어요. BGP Hijacking에 대해서는 뒤에가서 조금 더 설명드리기로 하겠고요. 암튼 이러한 이슈들이 있었습니다.
[러시아-우크라이나 전쟁과 관련된 다크웹 내 주요 이슈]
□ 권준 국장 최근 다크웹에서 요즘에 사건 사고들이 많은데 사이버전과 함께 혹시 다크웹 내에서 이슈가 됐던 사항들 조금 짚어주실 수 있을까요?
■ 곽경주 이사 최근에 우크라이나-러시아 사이버전 이슈가 대두되면서 다크웹 내에서는 약간 좀 엉뚱하게도 스캐머(Scammer)들이 굉장히 많아졌습니다. 약간 사기꾼같은 유형인데요. 우크라이나와 러시아의 데이터를 팔겠다라고 하면서 정작 실제 데이터를 보면 굉장히 오래전에 이미 유출됐었던 그런 데이터를 판매하고 있는 것들이 있었고요.
또한, 최근에 또 랜섬웨어 그룹들 같은 경우에 그 중에 하나는 자기네 공격 대상에서 우크라이나와 영국, 독일, 그리고 우크라이나 사태와 연관돼 있는 많은 국가들을 공격 대상에서 제외하겠다고 올리는 곳이 있어요. 그 이유는 우리는 정치적 성향을 띠고 공격을 하는 그룹이 아니기 때문에 현재 이슈가 있는 그런 국가들은 공격하지 않겠다라는 식으로 올리는 곳도 있고요.
그래서 다각적인 관점에서 봤을 때 다크웹에 있는 공격자들이 러시아-우크라이나 이슈에 민감하게 예민하게 반응을 하고 있는 부분들이 있습니다.
□ 권준 국장 아무래도 정치에 연관이 되면 결국 해당 국가 사법당국의 감시를 받게 되고 적발이 될 수도 있어 아마 그런 부분에 있어서는 우려를 많이 하는 것 같네요.
[클레이스왑 해킹 사건]
□ 권준 국장 우리나라의 경우는 얼마 전에 이슈가 됐던 것이 결국 ‘디파이 서비스’라고 해서 그 중에서도 이제 ‘클레이스왑’에서 해킹 사건이 발생해서 큰 이슈가 됐잖아요. 이번 사건과 관련해 어떻게 해킹을 했는지 등을 좀 쉽게 설명을 해주신다면요?
■ 곽경주 이사 클레이스왑 해킹 공격과 같은 경우에는 최초 타임라인부터 보시게 되면 실제 공격 자체는 올해 2월에 발생했지만 사전 준비 자체는 지난해 6월까지 올라갑니다. 굉장히 오래전부터 공격을 준비하고 있었고, 서비스를 공격한 방법이 ‘BGP Hijacking’이었다고 할 수 있는데요.
‘BGP Hijacking’이라고 하는 게 뭐냐면 쉽게 말씀드리면 저희가 도로에서 운전을 할 때 도로 표지판이 있지 않습니까? 저희가 사용하는 인터넷에도 그런 표지판 같은 것이 있습니다. 이게 ‘라우터’라고 하고, 해당 라우터에게 어디로 가야 되냐라고 신호를 보내는 것이 BGP라고 보시면 되는데요. 이번에 같은 경우에는 클레이스왑 쪽에서 사용하는 라우터가 BGP Hijacking을 당해서 정상적으로 가야 되는 길을 잘못된 엉뚱한 길로 가게 만들었습니다.
이게 왜 주목받아야 되는 일이냐면 우리가 사용하는 인터넷의 근간을 흔들 수 있는 공격이기 때문입니다. 오래전부터 계속 이슈가 됐었고 이 부분에 문제가 있다고, 많은 학계와 업계에서 이슈를 제기해 왔었었는데 국내에서 이렇게 대규모라고 할 수 있는 이런 사건이 터진 것은 이번이 처음입니다.
당시 클레이스왑 쪽에 사용하고 있는 소스코드 같은 것이 있습니다. 그게 악성으로 바꿔치기가 됐어요. 정상적으로 뭔가 작동을 하는 기능들이 악성으로 기능하도록 공격자가 바꿔치기를 한 것이죠. 이렇게 바꿔치기한 방식은 좀 전에 말씀드린 BGP Hijacking인 것이고요. 카카오라든가 클레이스왑, 클레이튼 등에서 빠르게 대응을 해서 큰 피해가 발생하지는 않았지만 이런 공격이 시작됐다는 것 자체가 저희에게 시사하는 바가 좀 큽니다.
□ 권준 국장 그러면 결국은 인터넷 사용자들이 가는 길을 표지판을 잘못 인도를 해서 결국은 악성코드로 감염되는 길로 인도를 했다는 말씀이신거 같은데.
▲bmTV [곽경주의 다크웹 인사이드] 4화 시작 화면[자료=보안뉴스]
[한 달간의 다크웹 동향 분석]
□ 권준 국장 이제 우리 매번 할 수 있는 다크웹에서의 랜섬웨어 범죄조직들의 활동 현황이라든가 그 다음에 국가별 피해 통계들도 있고요, 이러한 내용들을 간단하게 요약해서 소개를 해주신다면요?
■ 곽경주 이사 전체적인 랜섬웨어 피해 기업들, 그리고 피해 국가의 비율은 작년이나 올해나 크게 변하지는 않고 있습니다. 제일 피해가 많은 국가는 역시나 이번에도 ‘미국’이고요. 그 다음이 ‘독일’, 그리고 ‘영국’ , ‘프랑스’ , ‘이탈리아’ 이런 순이고요.
그리고 업종 순으로 봐도 이제 제조업이 제일 많았고 그 다음에 비지니스 서비스, 컨슈머 서비스, 그리고 항상 빠지지 않는 호스피탈리티, 교통 분야 순으로 피해가 계속 발생하고 있고요.
한달 동안 피해를 입은 전체적인 피해기업 수는 120개 조금 넘는데요. 그 정도로 꾸준하게 피해를 받고 있어요. 그리고 새롭게 리브랜딩되는 랜섬웨어도 계속 생겨나고 있고요.
그리고 어제도 좀 이슈가 있었죠. 국내 대기업이었는데 저번에 저희가 찍을 때 얘기 드렸던 회사인데, 그 회사가 다른 랜섬웨어에 감염된 정황이 보여요. 그래서 어제 다크웹에 올라왔었는데.
□ 권준 국장 그러면 해당 기업 같은 경우에는 어떻게 한 번 감염됐었다가 한 번 더 다른 랜섬웨어에 다시 감염됐다고 봐도...
■ 곽경주 이사 네, 다른 랜섬웨어로 보입니다.
□ 권준 국장 그러면 같은 기업이 다른 랜섬웨어 조직에 의해서 두 번 감염된 사례가 될 수 있겠네요.
[새학기 시작, 원격수업에서의 보안대책]
□ 권준 국장 곧 3월이 다가오는데요. 그래서 3월에는 또 우리 학생들이 등교도 하고, 올해 같은 경우도 온라인 수업이라든가 원격강의 관련해서 보안 이슈들이 많이 제기되잖아요? 그래서 그 때 발생할 수 있는 보안 이슈하고 대비할 수 있는 사항들에 대해서 간단하게 소개를 해주신다면요?
■ 곽경주 이사 네, 최근에 온라인 수업이 활발해지면서 저희가 사용하는 화상 수업 프로그램들이 있지 않습니까? ‘줌’이라든가 여러 가지들이 있죠. 보통 줌을 많이 사용하시는 것 같은데.
최근에 보면 각 대학교라든가 교육부 같은 곳에서 지침이 내려온 것 같습니다. ‘줌 바밍’이라고 하는 공격이 있거든요. 줌 화상 수업에 참여할 수 있는 링크를 공개적으로 어디다가 올려두면 그것을 보고 악의적인 목적을 가진 공격자라고 해야 될까요? 장난치는 사람들이 함부로 들어와 가지고 이상한 사진을 올린다든가 (강의에) 훼방을 놓는 그런 경우들이 있죠.
그래서 그런 것을 조심하라, 조심하려면 어떻게 해야 하느냐에 대한 지침같은 것들이 있습니다. 그 수업이 시작되면 수업 채널을 잠그고 아무나 못 들어오게 하고 그리고 링크는 공개적인 곳에 올리지 말아야 한다는 등의 지침들이 있습니다.
□ 권준 국장 바바리맨이 온라인으로도 지금 막 나타나고 있는 거잖아요. 수업 시간에 음란 행위를 한다든가, 오프라인에서의 행위들이 온라인으로 점점 넘어가면서 자꾸 그런 것들이 사회적 이슈가 되는 것이 아닌가라는 생각을 해봤습니다.
□ 권준 국장 이번에도 중요한 보안수칙들 또 말씀해 주셨는데요. 앞으로도 다크웹 쪽 많이 모니터링 해주시고 소식 있으면 다음에 설명 부탁드리겠습니다. 이만 마치도록 하겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
