사이버범죄자가 사이버범죄자를 서로 등쳐먹는 요지경 세상인 ‘다크웹’
한화 13,000원이면 살 수 있는 ‘DCRat’ 악성코드, 쉽게 해킹해서 원격제어 가능해져
북한 해커조직, 퇴역장성 등 노려 끊임없이 정보 탈취... 랜섬웨어 사용빈도 많아져
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 10화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 저희 다크웹 인사이드가 다시 스튜디오로 돌아왔습니다. 지난번에 저희가 국내 최대 보안 전시회인 세계보안엑스포 현장에서 라이브를 진행해봤는데요 아주 새로운 경험이었던 것 같습니다.
▲bmTV [곽경주의 다크웹 인사이드] 10화 시작 화면[자료=보안뉴스]
[최근 1개월 다크웹 이슈]
□ 권준 국장 그동안 저희가 못 본 사이에 다크웹이라든가 그다음에 사이버 범죄조직 내에서도 여러 가지 변화가 있었던 것 같습니다. 최근 들어 이사님께서 관심 있게 지켜봤던 이슈들이 있었다면요?
■ 곽경주 이사 우선 예전에 몇 번 말씀드렸었는데 ‘레이드포럼’ 운영자가 잡혔잖아요? 그리고 나서 얼마 전에 (어떤 사람이) 레이드포럼 운영자인 것처럼 텔레그램을 운영한다든가 이런 이슈들이 있었어요. ‘브리치포럼’이라고 있어요. 레이드포럼을 운영했던 또 다른 운영자가 나와서 만든 포럼이 있는데, 거기 운영자가 거기(텔레그램 채널)를 저격하는 글을 올렸습니다. “이 친구는 Scam이다”, “그러니까 조심해라”라는 글을 올렸었는데요. 이렇게 사칭했던 운영자는 ‘옴니포턴트’라고 이번에 잡혔던 운영자죠. 그 운영자인 것처럼 사칭해가지고 텔레그램 채널 만들고 돈 뜯어내려고 하고 그랬던 이슈였었는데요. 이런 것이 참 재밌어요. 다크웹 쪽에서 흘러가는 흐름을 보면 사기꾼이 사기꾼을 또 등치고 하는, 그런 이슈들이요.
□ 권준 국장 그 ‘브리치포럼’ 같은 경우에는 저번에 저희가 다크웹 탐방 때 직접 한 번 들어가 보기도 했던 곳이죠?
■ 곽경주 이사 네, 그렇죠. 그리고 ‘Teng Snake’라고 중국 쪽 공격그룹이 있는데 그 그룹이 이제 트위터를 만들었어요. 트위터를 만들어서 우리나라 “국방부를 해킹했다”라는 글도 올리고 그 다음에 의료 쪽 우리나라 의료관련 협회를 공격해서 “내부 데이터를 탈취했다”라는 글도 올렸었는데요. 최근에 이 조직이 눈에 많이 띄는 것 같습니다.
□ 권준 국장 해당 조직은 각별히 신경을 쓰고 모니터링을 해야 될 것 같습니다. 다크웹 기반 랜섬웨어 조직 가운데는 자꾸 언급이 되는 곳이 ‘레빌(REvil)’인 것 같아요 가장 악명을 떨치기도 했었고, 최근에는 경찰들에 의해서 와해됐다는 얘기도 있었는데요. 최근에 ‘다시 부활했다’라는 얘기도 있거든요. 레빌을 비롯해서 이런 랜섬웨어 조직들이 없어졌다가 부활하는 게 반복되는데요. 이런 현상들은 어떻게 봐야할까요?
■ 곽경주 이사 일단 레빌 이슈는 보안 분석가들 사이에서도 의견이 분분합니다. 해당 조직이 “원래 있었던 조직 멤버가 나와서 새롭게 만든 것이다”라는 의견도 있고 어떤 곳에서는 “얘네들은 사기다”라고 하고 있는데 근데 일단은 스캠(Scam) 쪽으로 많이 기울고 있긴 해요. 그런데 악성코드 같은 것을 분석해 보면은 예전에 레빌의 흔적들이 많이 남아있고요. 다크웹 쪽의 사이트에서도 이 친구들이 새롭게 만든 사이트가 있거든요? 그곳으로 이제 연결이 되고 있고요. 그래서 “아예 스캠이다”라고 보기에는 아직까지는 좀 어렵지 않나 하는 생각이 듭니다. 이들의 행동을 조금 더 지켜봐야 판단이 가능할 것 같아요.
□ 권준 국장 네, 알겠습니다. 나중에 업데이트된 결과가 나오면 저희한테 먼저 소개를 해주셨으면 좋겠습니다.
[Teng Snake와 러시아 해커그룹과의 연합]
□ 권준 국장 또 요즘에 새롭게 등장하거나 주목할 만한 사이버 범죄조직이 있으면 한 번 설명을 해주신다면요?
■ 곽경주 이사 결국 앞에서 말씀드렸던 ‘Teng Snake’ 조직이 러시아 쪽 해커와 연합을 한 것이 눈에 띱니다. 그들 스스로는 ‘White Dawn’이라고 부르는데(Teng Snake가) 러시아 쪽이랑 연합을 하다 보니까 ‘NATO’에 대한 반감이 있는 게 아닌가 싶기도 합니다. NATO랑 서방 국가에 대한 반감이 있어서 그쪽을 타깃팅해서 공격하려고 하는 정황들이 지금 계속 보이고 있어서 유관기관 쪽에는 저희가 계속 (정보를) 알려드리고 있거든요. 어디를 타깃팅하고 있는 것인지, 어떤 수법을 쓰려고 하는 것인지, 이들도 결국에는 랜섬웨어나 이런 것을 쓰려고 하는 것으로 보이는데요. 이 부분에 대해서 저희가 주목을 하고 계속 모니터링을 하고 있을 필요는 있을 것 같아요.
□ 권준 국장 우리나라가 NATO 정식 회원국은 아니지만 얼마 전에 사이버 안보 쪽 분야에서는 참여하기로 했다는 보도가 나왔고요. 그 다음에 최근에 중립국들이 NATO에 가입하는 경향이 (우크라이나) 러시아 전쟁 이후에 더 두드러지는 것 같아서요. 이로 인해 결국 NATO에 대한 반감을 많이 드러내는 것 같기는 하는데, 이 조직들이 국가지원 해커조직하고도 연관이 되어 있다고 봐야 할까요?
■ 곽경주 이사 지금까지 저희가 확보한 분석 결과로 봤을 때는 ‘이들이 국가급 배후가 있다’라고 결론 내리기는 어려운 상황인 것 같습니다. 국가급 배후가 있는 조직들은 제 경험상으로는 조용히 움직이거든요.
□ 권준 국장 그렇게 구별을 할 수는 있겠네요. 국가지원 해커조직은 어차피 은밀하게 움직이기 때문에 대외적으로 나선다든가 이런 것은 없고, Teng Snake 같은 경우에는 국가지원 해커조직은 아니고, 추정컨대 아무래도 그런 것(국가급 배후)을 사칭해서 자기네들의 해킹 행위의 명분을 찾으려고 하는 (그렇게) 해석이 될 수 있겠네요.
[악성코드 DCRat]
□ 권준 국장 또 한 가지 해킹 포럼에서 이슈가 됐던 것이 ‘DCRat’이라는 악성코드가 아주 파격적인 가격으로 판매가 되면서 사이버 범죄가 계속 늘어나는 그런 추세가 될 수 있다는 점을 우려를 많이 하시더라고요. 이 건에 대해서는 어떻게 보고 계신지요?
■ 곽경주 이사 DCRat은 ‘Dark Crystal Rat’이라고 하는 용어의 약자인데 DCRat이 재밌는 부분은 말씀하셨듯이 굉장히 저렴하게 판매가 됐어요. 한화로 13,000원 정도 굉장히 싸게 판매가 되고 있고요. 기능들을 봤을 때 기존 RAT 악성코드에서 제공하는 모든 기능을 제공하고 있습니다. 내부에 침투를 해서 입력값을 다 탈취해 나간다든가, 그 다음에 외부에서 (해킹한 컴퓨터의) 화면을 볼 수 있게 한다든가, 웹캠을 활성화 시킨다든가, 이런 기능들이 다 들어가 있는데요. 사실 DCRat은 올해 처음 판매한 것이 아니고 2019년도로 거슬러 올라갈 수 있어요. 그때부터 쭉 판매를 해오고 있는 것인데요.
그때부터 700₽(=한화 13,000원)로 판매하고 있었던 것이고 DCRat 뿐만 아니라 다크웹 마켓이나 다크웹 포럼 같은 곳 보면 이런 범죄 도구를 판매하는 그런 것들이 많거든요. 그래서 랜섬웨어 빌더를 팔기도 하고, 이런 원격제어 도구를 팔기도 하고 이런 것이 큰 시장이 형성돼 있어요. 그래서 이들도 비즈니스이기 때문에 자기네들보다 더 큰 범죄조직에 눈에 딱 띄게 되면 범죄조직과 뭔가 공급계약과 같은 그런 느낌으로 (계약을) 할 수 있거든요. 그러면은 돈도 벌고요.
□ 권준 국장 이것(DCRat)을 개발했던 개발자가 계속 악성코드에 대해서 업데이트도 하고 ‘관리를 아주 체계적으로 한다’라는 얘기도 좀 들었거든요.
■ 곽경주 이사 당연히 이렇게 많이 팔리는 RAT 악성코드 같은 경우에는 체계적으로 관리를 합니다. 관리를 하고 유지보수 같은 것들도 해주죠. 그리고 지금은 삭제됐는데, 유튜브에 (DCRat) 홍보영상도 올렸었어요. 그런 식으로 자기네들 도구를 홍보합니다.
□ 권준 국장 결국은 이 악성코드만 사면 특별한 해킹 기술이 없이도 공격이 가능하다는 얘기잖아요?
■ 곽경주 이사 네, 그렇죠.
[최근 1개월 북한 해커 동향]
□ 권준 국장 최근 북한의 움직임도 심상치 않은 것 같습니다. 외부적으로는 미사일 발사, 핵실험 얘기하면서 특히 북한의 경우에는 코로나가 갑자기 창궐을 하면서 관련해서 정보 탈취라든가 사이버전 활동도 많이 하고 있는 것 같은데요. 혹시 이사님께서 파악하고 있거나 체크하고 있는 북한의 움직임이 있을까요?
■ 곽경주 이사 요즘 “북한 쪽 공격이 있다”라는 리포트가 예전보다 좀 많이 늘었어요. 제가 요즘 계속 주의 깊게 보고 있는 건 “북한 쪽 공격그룹들이 랜섬웨어를 사용하기 시작했다”라는 얘기가 계속 들린다는 점인데요.
그리고 2017년에 제가 금융보안원에 있을 때 작성했던 보고서가 있는데 거기서 처음 명명을 했던 그룹이죠. ‘안다리엘(Andariel)’이라고요. 이 그룹이 랜섬웨어를 충분히 사용할 수 있는 그룹은 맞아요. (해킹 공격의) 타깃은 거의 한국이었죠. 한국에 있는 기업이었는데 최근에 보면 미국 쪽 분석가들이 저한테 연락이 와서 “미국을 대상으로도 랜섬웨어를 유포하고 뿌리고 있다”는 그런 얘기들을 계속 해주고 있어서 그 부분을 저희가 내부적으로 분석을 해서 계속 모니터링하고 있죠.
그리고 최근에 알았던 것은 ‘김수키’ 그룹이 우리나라 퇴역장군이나 고위 공무원들 타깃으로 많이 공격을 하고 있다고 말씀드린 적이 있었는데요. 그런 분들 중에 1년 가까이 계속 탈취가 되고 계신 분들이 있어요. 이런 분들이 국가안보상 굉장히 중요하거든요. 근데 여기에 대한 조치가 아직 안 되는 부분들이 있어서 다소 안타까운 측면이 있습니다.
□ 권준 국장 그럼 모니터링 하는 범위를 좀 더 확대를 할 필요는 있겠네요. 관리 주체에 대한 범위를요.
[최근 1개월 다크웹 피해 통계]
□ 권준 국장 다크웹에서 한 달 동안 활발하게 활동했던 조직이라든가 특이동향 그다음에 피해 국가 등의 통계를 설명해 주신다면?
■ 곽경주 이사 랜섬웨어에 항상 피해를 많이 받는 국가는 ‘미국’이고요. 근데 미국이 지금까지는 보통 평균 50% 정도 전체 피해 기업의 50%정도였었는데 이번에는 60% 이상으로 올라갔고요. (피해) 산업군은 항상 비슷비슷합니다. 제조업권이나 건설 쪽이 가장 많이 피해를 받고 있고요.
랜섬웨어 조직의 활동을 봤을 때는 ‘콘티(Conti)’가 많이 죽었어요. 콘티가 내부적인 내홍이 있었잖아요? 내부 분열도 심했고요. 그러다보니까 콘티가 이번에는 (공격 비율이) 25%까지 떨어졌어요. 대신 ‘록빗(LockBit)’이 50% 정도고 그 다음에 ‘블랙캣(BlackCat)’의 비율이 10% 가량으로 올라왔습니다. 그리고 ‘아보스락커(AvosLocker)’라는 그룹이 있는데요. 이들은 미국 내 주요기반시설 대상으로 공격하는 그룹으로 FBI에서 경고를 내리기도 했었거든요, 해당 조직의 활동량도 꾸준히 올라가고 있습니다. 그래서 이제 콘티가 활동량이 줄어들면서 그 안에 있던 사이버 범죄자들이 빠져나오기 시작할텐데요. 그 범죄자들이 지금 말씀드린 조직 어딘가로 흘러들어갈 거라고 봅니다. 그러면 그 조직들은 다른 범죄 조직에 비해서 경쟁력도 올라가고 기술력 수준도 많이 올라가겠죠. 그래서 지금 말씀드린 콘티 외에 다른 랜섬웨어 그룹들도 눈여겨보시는 것이 필요하지 않을까 싶습니다.
□ 권준 국장 오늘 너무 중요한 말씀들 많이 해주셔서 감사드리고요. 다음 시간에 또 뵙도록 하겠습니다.
■ 곽경주 이사 네, 알겠습니다. 감사합니다.
[권 준 기자(editor@boannews.com)]
한화 13,000원이면 살 수 있는 ‘DCRat’ 악성코드, 쉽게 해킹해서 원격제어 가능해져
북한 해커조직, 퇴역장성 등 노려 끊임없이 정보 탈취... 랜섬웨어 사용빈도 많아져
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 10화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 저희 다크웹 인사이드가 다시 스튜디오로 돌아왔습니다. 지난번에 저희가 국내 최대 보안 전시회인 세계보안엑스포 현장에서 라이브를 진행해봤는데요 아주 새로운 경험이었던 것 같습니다.
▲bmTV [곽경주의 다크웹 인사이드] 10화 시작 화면[자료=보안뉴스]
[최근 1개월 다크웹 이슈]
□ 권준 국장 그동안 저희가 못 본 사이에 다크웹이라든가 그다음에 사이버 범죄조직 내에서도 여러 가지 변화가 있었던 것 같습니다. 최근 들어 이사님께서 관심 있게 지켜봤던 이슈들이 있었다면요?
■ 곽경주 이사 우선 예전에 몇 번 말씀드렸었는데 ‘레이드포럼’ 운영자가 잡혔잖아요? 그리고 나서 얼마 전에 (어떤 사람이) 레이드포럼 운영자인 것처럼 텔레그램을 운영한다든가 이런 이슈들이 있었어요. ‘브리치포럼’이라고 있어요. 레이드포럼을 운영했던 또 다른 운영자가 나와서 만든 포럼이 있는데, 거기 운영자가 거기(텔레그램 채널)를 저격하는 글을 올렸습니다. “이 친구는 Scam이다”, “그러니까 조심해라”라는 글을 올렸었는데요. 이렇게 사칭했던 운영자는 ‘옴니포턴트’라고 이번에 잡혔던 운영자죠. 그 운영자인 것처럼 사칭해가지고 텔레그램 채널 만들고 돈 뜯어내려고 하고 그랬던 이슈였었는데요. 이런 것이 참 재밌어요. 다크웹 쪽에서 흘러가는 흐름을 보면 사기꾼이 사기꾼을 또 등치고 하는, 그런 이슈들이요.
□ 권준 국장 그 ‘브리치포럼’ 같은 경우에는 저번에 저희가 다크웹 탐방 때 직접 한 번 들어가 보기도 했던 곳이죠?
■ 곽경주 이사 네, 그렇죠. 그리고 ‘Teng Snake’라고 중국 쪽 공격그룹이 있는데 그 그룹이 이제 트위터를 만들었어요. 트위터를 만들어서 우리나라 “국방부를 해킹했다”라는 글도 올리고 그 다음에 의료 쪽 우리나라 의료관련 협회를 공격해서 “내부 데이터를 탈취했다”라는 글도 올렸었는데요. 최근에 이 조직이 눈에 많이 띄는 것 같습니다.
□ 권준 국장 해당 조직은 각별히 신경을 쓰고 모니터링을 해야 될 것 같습니다. 다크웹 기반 랜섬웨어 조직 가운데는 자꾸 언급이 되는 곳이 ‘레빌(REvil)’인 것 같아요 가장 악명을 떨치기도 했었고, 최근에는 경찰들에 의해서 와해됐다는 얘기도 있었는데요. 최근에 ‘다시 부활했다’라는 얘기도 있거든요. 레빌을 비롯해서 이런 랜섬웨어 조직들이 없어졌다가 부활하는 게 반복되는데요. 이런 현상들은 어떻게 봐야할까요?
■ 곽경주 이사 일단 레빌 이슈는 보안 분석가들 사이에서도 의견이 분분합니다. 해당 조직이 “원래 있었던 조직 멤버가 나와서 새롭게 만든 것이다”라는 의견도 있고 어떤 곳에서는 “얘네들은 사기다”라고 하고 있는데 근데 일단은 스캠(Scam) 쪽으로 많이 기울고 있긴 해요. 그런데 악성코드 같은 것을 분석해 보면은 예전에 레빌의 흔적들이 많이 남아있고요. 다크웹 쪽의 사이트에서도 이 친구들이 새롭게 만든 사이트가 있거든요? 그곳으로 이제 연결이 되고 있고요. 그래서 “아예 스캠이다”라고 보기에는 아직까지는 좀 어렵지 않나 하는 생각이 듭니다. 이들의 행동을 조금 더 지켜봐야 판단이 가능할 것 같아요.
□ 권준 국장 네, 알겠습니다. 나중에 업데이트된 결과가 나오면 저희한테 먼저 소개를 해주셨으면 좋겠습니다.
[Teng Snake와 러시아 해커그룹과의 연합]
□ 권준 국장 또 요즘에 새롭게 등장하거나 주목할 만한 사이버 범죄조직이 있으면 한 번 설명을 해주신다면요?
■ 곽경주 이사 결국 앞에서 말씀드렸던 ‘Teng Snake’ 조직이 러시아 쪽 해커와 연합을 한 것이 눈에 띱니다. 그들 스스로는 ‘White Dawn’이라고 부르는데(Teng Snake가) 러시아 쪽이랑 연합을 하다 보니까 ‘NATO’에 대한 반감이 있는 게 아닌가 싶기도 합니다. NATO랑 서방 국가에 대한 반감이 있어서 그쪽을 타깃팅해서 공격하려고 하는 정황들이 지금 계속 보이고 있어서 유관기관 쪽에는 저희가 계속 (정보를) 알려드리고 있거든요. 어디를 타깃팅하고 있는 것인지, 어떤 수법을 쓰려고 하는 것인지, 이들도 결국에는 랜섬웨어나 이런 것을 쓰려고 하는 것으로 보이는데요. 이 부분에 대해서 저희가 주목을 하고 계속 모니터링을 하고 있을 필요는 있을 것 같아요.
□ 권준 국장 우리나라가 NATO 정식 회원국은 아니지만 얼마 전에 사이버 안보 쪽 분야에서는 참여하기로 했다는 보도가 나왔고요. 그 다음에 최근에 중립국들이 NATO에 가입하는 경향이 (우크라이나) 러시아 전쟁 이후에 더 두드러지는 것 같아서요. 이로 인해 결국 NATO에 대한 반감을 많이 드러내는 것 같기는 하는데, 이 조직들이 국가지원 해커조직하고도 연관이 되어 있다고 봐야 할까요?
■ 곽경주 이사 지금까지 저희가 확보한 분석 결과로 봤을 때는 ‘이들이 국가급 배후가 있다’라고 결론 내리기는 어려운 상황인 것 같습니다. 국가급 배후가 있는 조직들은 제 경험상으로는 조용히 움직이거든요.
□ 권준 국장 그렇게 구별을 할 수는 있겠네요. 국가지원 해커조직은 어차피 은밀하게 움직이기 때문에 대외적으로 나선다든가 이런 것은 없고, Teng Snake 같은 경우에는 국가지원 해커조직은 아니고, 추정컨대 아무래도 그런 것(국가급 배후)을 사칭해서 자기네들의 해킹 행위의 명분을 찾으려고 하는 (그렇게) 해석이 될 수 있겠네요.
[악성코드 DCRat]
□ 권준 국장 또 한 가지 해킹 포럼에서 이슈가 됐던 것이 ‘DCRat’이라는 악성코드가 아주 파격적인 가격으로 판매가 되면서 사이버 범죄가 계속 늘어나는 그런 추세가 될 수 있다는 점을 우려를 많이 하시더라고요. 이 건에 대해서는 어떻게 보고 계신지요?
■ 곽경주 이사 DCRat은 ‘Dark Crystal Rat’이라고 하는 용어의 약자인데 DCRat이 재밌는 부분은 말씀하셨듯이 굉장히 저렴하게 판매가 됐어요. 한화로 13,000원 정도 굉장히 싸게 판매가 되고 있고요. 기능들을 봤을 때 기존 RAT 악성코드에서 제공하는 모든 기능을 제공하고 있습니다. 내부에 침투를 해서 입력값을 다 탈취해 나간다든가, 그 다음에 외부에서 (해킹한 컴퓨터의) 화면을 볼 수 있게 한다든가, 웹캠을 활성화 시킨다든가, 이런 기능들이 다 들어가 있는데요. 사실 DCRat은 올해 처음 판매한 것이 아니고 2019년도로 거슬러 올라갈 수 있어요. 그때부터 쭉 판매를 해오고 있는 것인데요.
그때부터 700₽(=한화 13,000원)로 판매하고 있었던 것이고 DCRat 뿐만 아니라 다크웹 마켓이나 다크웹 포럼 같은 곳 보면 이런 범죄 도구를 판매하는 그런 것들이 많거든요. 그래서 랜섬웨어 빌더를 팔기도 하고, 이런 원격제어 도구를 팔기도 하고 이런 것이 큰 시장이 형성돼 있어요. 그래서 이들도 비즈니스이기 때문에 자기네들보다 더 큰 범죄조직에 눈에 딱 띄게 되면 범죄조직과 뭔가 공급계약과 같은 그런 느낌으로 (계약을) 할 수 있거든요. 그러면은 돈도 벌고요.
□ 권준 국장 이것(DCRat)을 개발했던 개발자가 계속 악성코드에 대해서 업데이트도 하고 ‘관리를 아주 체계적으로 한다’라는 얘기도 좀 들었거든요.
■ 곽경주 이사 당연히 이렇게 많이 팔리는 RAT 악성코드 같은 경우에는 체계적으로 관리를 합니다. 관리를 하고 유지보수 같은 것들도 해주죠. 그리고 지금은 삭제됐는데, 유튜브에 (DCRat) 홍보영상도 올렸었어요. 그런 식으로 자기네들 도구를 홍보합니다.
□ 권준 국장 결국은 이 악성코드만 사면 특별한 해킹 기술이 없이도 공격이 가능하다는 얘기잖아요?
■ 곽경주 이사 네, 그렇죠.
[최근 1개월 북한 해커 동향]
□ 권준 국장 최근 북한의 움직임도 심상치 않은 것 같습니다. 외부적으로는 미사일 발사, 핵실험 얘기하면서 특히 북한의 경우에는 코로나가 갑자기 창궐을 하면서 관련해서 정보 탈취라든가 사이버전 활동도 많이 하고 있는 것 같은데요. 혹시 이사님께서 파악하고 있거나 체크하고 있는 북한의 움직임이 있을까요?
■ 곽경주 이사 요즘 “북한 쪽 공격이 있다”라는 리포트가 예전보다 좀 많이 늘었어요. 제가 요즘 계속 주의 깊게 보고 있는 건 “북한 쪽 공격그룹들이 랜섬웨어를 사용하기 시작했다”라는 얘기가 계속 들린다는 점인데요.
그리고 2017년에 제가 금융보안원에 있을 때 작성했던 보고서가 있는데 거기서 처음 명명을 했던 그룹이죠. ‘안다리엘(Andariel)’이라고요. 이 그룹이 랜섬웨어를 충분히 사용할 수 있는 그룹은 맞아요. (해킹 공격의) 타깃은 거의 한국이었죠. 한국에 있는 기업이었는데 최근에 보면 미국 쪽 분석가들이 저한테 연락이 와서 “미국을 대상으로도 랜섬웨어를 유포하고 뿌리고 있다”는 그런 얘기들을 계속 해주고 있어서 그 부분을 저희가 내부적으로 분석을 해서 계속 모니터링하고 있죠.
그리고 최근에 알았던 것은 ‘김수키’ 그룹이 우리나라 퇴역장군이나 고위 공무원들 타깃으로 많이 공격을 하고 있다고 말씀드린 적이 있었는데요. 그런 분들 중에 1년 가까이 계속 탈취가 되고 계신 분들이 있어요. 이런 분들이 국가안보상 굉장히 중요하거든요. 근데 여기에 대한 조치가 아직 안 되는 부분들이 있어서 다소 안타까운 측면이 있습니다.
□ 권준 국장 그럼 모니터링 하는 범위를 좀 더 확대를 할 필요는 있겠네요. 관리 주체에 대한 범위를요.
[최근 1개월 다크웹 피해 통계]
□ 권준 국장 다크웹에서 한 달 동안 활발하게 활동했던 조직이라든가 특이동향 그다음에 피해 국가 등의 통계를 설명해 주신다면?
■ 곽경주 이사 랜섬웨어에 항상 피해를 많이 받는 국가는 ‘미국’이고요. 근데 미국이 지금까지는 보통 평균 50% 정도 전체 피해 기업의 50%정도였었는데 이번에는 60% 이상으로 올라갔고요. (피해) 산업군은 항상 비슷비슷합니다. 제조업권이나 건설 쪽이 가장 많이 피해를 받고 있고요.
랜섬웨어 조직의 활동을 봤을 때는 ‘콘티(Conti)’가 많이 죽었어요. 콘티가 내부적인 내홍이 있었잖아요? 내부 분열도 심했고요. 그러다보니까 콘티가 이번에는 (공격 비율이) 25%까지 떨어졌어요. 대신 ‘록빗(LockBit)’이 50% 정도고 그 다음에 ‘블랙캣(BlackCat)’의 비율이 10% 가량으로 올라왔습니다. 그리고 ‘아보스락커(AvosLocker)’라는 그룹이 있는데요. 이들은 미국 내 주요기반시설 대상으로 공격하는 그룹으로 FBI에서 경고를 내리기도 했었거든요, 해당 조직의 활동량도 꾸준히 올라가고 있습니다. 그래서 이제 콘티가 활동량이 줄어들면서 그 안에 있던 사이버 범죄자들이 빠져나오기 시작할텐데요. 그 범죄자들이 지금 말씀드린 조직 어딘가로 흘러들어갈 거라고 봅니다. 그러면 그 조직들은 다른 범죄 조직에 비해서 경쟁력도 올라가고 기술력 수준도 많이 올라가겠죠. 그래서 지금 말씀드린 콘티 외에 다른 랜섬웨어 그룹들도 눈여겨보시는 것이 필요하지 않을까 싶습니다.
□ 권준 국장 오늘 너무 중요한 말씀들 많이 해주셔서 감사드리고요. 다음 시간에 또 뵙도록 하겠습니다.
■ 곽경주 이사 네, 알겠습니다. 감사합니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
