랜섬웨어 해커조직 록빗(LockBit)의 버그바운티 대상 6가지는 무엇?
다크웹에서 거래되는 비밀번호가 246억개? 중복 제거할 경우 많이 줄어들 듯
새롭게 등장한 랜섬웨어 조직? SoildBit, CryptOn, BlackBasta 등 주목해야
■ 방송 : 보안뉴스TV(bnTV) 라이브<곽경주의 다크웹 인사이드> 12화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 오랜만에 다시 인사드립니다. 저희가 또 오랜만에 다크웹 인사이드 라이브를 진행하게 됐는데요, 이사님 그간 잘 지내셨죠?
■ 곽경주 이사 아~ 네 잘 지냈습니다.
□ 권준 국장 올해 여름 휴가는 어떻게 어디로 계획하고 계신가요?
■ 곽경주 이사 전혀 계획 없고요. (웃음) 일이 바빠서 전혀 계획은 없고, 지금 요새 비행기 값도 비싸서 어디 나갈 엄두를 못내고 있는데요. 그냥 이번 달에는 싱가포르 한 번 갈 것 같아요. 인터폴 회의가 있어서요.
□ 권준 국장 아, 그러세요?
■ 곽경주 이사 네네.
□ 권준 국장 이사님, 예전에 사실 제가 해외여행 가셔 가지고 찍은 사진 페이스북에서 보고 엄청 많이 부러워했거든요.
■ 곽경주 이사 네, 저도 그때의 제가 부럽습니다. (웃음)
▲bnTV 라이브 [곽경주의 다크웹 인사이드] 12화 시작 화면[이미지=보안뉴스]
[해커조직 LockBit의 버그바운티]
□ 권준 국장 하여튼 출장이라도 잘 다녀오시고요, 그간 사실 다크웹, 그리고 사이버 범죄 조직도 이슈가 많았던 것 같습니다. 그 중에서도 제가 요즘에 주목한 것은 요즘 제일 잘 나간다는 랜섬웨어 해커조직 ‘록빗(LockBit)’ 있잖아요? 거기서 ‘버그바운티(Bug bounty)’를 한다는 소식을 접했거든요. 일반 기업에서 사실 취약점을 찾으려고 버그바운티를 한다는 얘기는 들어봤어도 이러한 범죄조직에서 버그바운티를 한다는 게 너무 또 새롭더라고요. 그래서 이사님께서 먼저 버그바운티의 개념에 대해서 먼저 좀 간단하게 소개를 해주시고. ‘LockBit’이 진행하는 버그바운티는 어떤 형태로 진행되는지 한 번 좀 설명을 해주신다면요?
■ 곽경주 이사 우선 버그바운티는 쉽게 말씀드리면은 그냥 버그를 찾거나 취약점 찾아서 제보하면 돈을 준다는 겁니다. 근데 이게 보통은 우리나라 기관이나 큰 기업들이나 이런 곳에서 자사 솔루션 같은 것들, 흔히 많이들 사용하는 솔루션들, 소프트웨어들에 대한 취약점을 찾아서 제보하면 돈을 주는 식으로 운영이 되는 것인데요. 대표적으로 마이크로소프트나 구글이나 우리나라의 한국인터넷진흥원이나 이런 곳에서 버그바운티하고 있거든요.
근데 이번에 보면은 LockBit이 3.0, 지금까지는 2.0이었는데 3.0으로 업그레이드를 하면서 버그바운티를 시작을 했어요. 이 버그바운티 대상은 총 6개입니다. 일단 첫 번째로 웹사이트 자기네 LockBit에 다크웹 상에 있는 웹사이트의 취약점이 발견됐을 경우에 본인들에게 제보를 하면 돈을 주겠다 이런 것이고요.
그리고 ‘덕싱(Doxing)’이라고 해서 특정 인물의 신원을 파악하는 것이죠. 사이버상에서의 사이버 아이덴티티가 있을 것인데, 그것을 실제 오프라인상에서의 실제 인물의 이름이라든가 주소라든가 전화번호라든가 이런 것을 캐내는 것을 ‘덕싱’이라고 하는데 그 덕싱의 대상은 파트너 그룹의 보스입니다. LockBit 같은 이런 큰 랜섬웨어 같은 경우에는 본점이 있고 그 밑에 이제 대리점 같은 것들이 있어요. 그 대리점들이 열심히 뛰면서 피해 기업들을 해킹하는 것인데요. 그런 파트너사 대리점의 보스에 사장님의 신상 정보를 알아오면 돈을 주겠다 그런 것입니다. 이것은 그 해당 보스를 ‘어떻게 하겠다’ 라기 보다는 파트너 사들의 신상정보도 보호가 돼야되기 때문에 그래서 그런 것을 하는 것 같고요.
그리고 그 다음에 ‘로커버그(Locker Bugs)’라고, 이 부분도 이제 아이템으로 내놨는데 랜섬웨어의 암호화 취약점입니다. 보통 이제 랜섬웨어들이 복호화 도구들이 많이 생기죠. 공공기관들에서도 만들고 있고, 그 다음에 ‘노모어 랜섬(No more Ransom)’이라 그래서 유로폴을 구심점으로 해서 뭉쳐있는 ‘노모어 랜섬’이라는 그 단체도 있는데요. 그 노모어 랜섬에서는 각 랜섬웨어의 복호화 도구를 만들어서 배포를 하고 있어요. 그 때 배포를 할 때 보면은 그 중에 대다수를 차지하는 것들이 랜섬웨어의 암호화를 구현하는 단계에서 구현이 좀 잘못돼 가지고, 구현상의 취약점으로 인해서 복호화가 되기도 하고 그러거든요. 그래서 LockBit은 자기네들 랜섬웨어 악성코드에 암호화 과정에서의 취약점을 발견해서 제보하면 돈을 주겠다 라는 것이었습니다.
그 다음에는 이제 ‘톡스 메신저(Tox messenger)’ 라는 것이 있어요. ‘톡스(Tox)’라는 것이 있는데 이게 뭐냐면 다크웹 네트워크 기반의 메신저이거든요. 일종의 메신저인데 저희 카카오톡 쓰고 그러잖아요. 그런 것처럼 범죄자들이 주로 사용하는 메신저인데요. 이 메신저의 취약점을 찾아서 제보해주면 돈을 주겠다는 겁니다. 이게 왜 그러냐면, 이 톡스 메신저를 사용해서 범죄자들이 서로 은밀한 얘기를 많이 할 것이잖아요. 그런데 이제 중간에서 대화 내용을 가로챈다든가, 그 내용을 알 수 있는 취약점이 있으면은 본인들한테도 크리티컬하기 때문에 그 취약점을 알려달라는 것이죠.
그 다음에 이제 ‘브릴리언트 아이디어스(Brilliant ideas)’라고 해가지고, 그냥 자기네들한테 LockBit의 비지니스, 그들에게는 비즈니스죠. 그런 비즈니스에서 이익을 줄 수 있는 어떤 아이디어든 상관없다고 아이디어를 달라는 겁니다. 그러면 돈을 주겠다는 것이고요.
그 다음에 다크웹에 접속할 수 있는 ‘토르 네트워크(Tor Network)’의 취약점을 알려주면은 또 돈을 주겠다는 건데요. 왜 그러냐면 이제 LockBit 같은 랜섬웨어들은 다크웹의 인프라를 숨겨놓고 활동을 하는데, 이 다크웹, 토르 네트워크 자체에 취약점이 있으면 그들의 서버를 은닉시켜 놨더라도 실제 IP가 발각된다든가 할 수 있거든요. 실제 서버의 IP가 발각되면 이제 수사기관이나 이런 곳에서 압수를 할 수도 있고 들어갈 수도 있겠죠. 그러면 본인들이 잡힐 수 있는 여지도 많아지고, 그래서 이런 부분들에 대한 전반적인 버그바운티를 하고 있고요. 보상(Reward)은 1,000달러에서부터 100만달러까지 주는 것으로 되어 있습니다. 우리나라 돈으로 환산하면 한 12억 정도.
□ 권준 국장 엄청나게 광범위하게 다양한 분야에서 (버그바운티를) 하는데요. 이 상금을 돈으로 주거나 또 아니면 ‘개인 식별 정보’나 ‘익스플로잇(exploit)’이라고 해킹할 수 있는 도구로 준다는 얘기도 있던데요?
■ 곽경주 이사 네네. 그런 것들도 준다는 얘기가 있고요, 그건 이제 공격자들한테는 그런 것들도 큰 도움이 되기 때문에 LockBit 같은 이런 대형 랜섬웨어 조직에서 사용하는 해킹 도구 같은 경우에는 굉장히 고도화 되어 있을 것이기 때문에 그런 것을 준다는 것입니다.
□ 권준 국장 그러면은 돈으로 줄 수도 있고 원한다면 그렇게(개인 식별 정보, 해킹도구)도 줄 수 있다 이런 것인가요?
■ 곽경주 이사 네, 그렇습니다.
□ 권준 국장 알겠습니다. 하여튼 이번에 참 또 이런 획기적인 소식, 범죄조직이 버그바운티를 한다는 소식이 좀 있어서 우리 이사님한테 자세한 설명을 들어봤고요.
■ 곽경주 이사 이제는 도둑놈들이 더한 것 같습니다. (웃음)
□ 권준 국장 그러니깐요.. 네, 더 철저하군요.
[아틀라시안 컨플루언스, 제로데이 취약점 발견]
□ 권준 국장 얼마 전에 ‘아틀라시안 컨플루언스(Atlassian Confluence)’라고 협업 플랫폼, 거기서 제로데이 취약점이 발견돼 이슈가 된 바 있었거든요. 현재는 지금 알기로는 패치가 된 것으로 알고는 있는데, 패치를 하지 않아서 해킹이 가능한 기업들이 있다. 그래서 그런 50여개 기업의 어떤 침투 경로를 다크웹에서 판매 중이다. 또 이런 얘기를 들어서요. 이번 취약점이 얼마나 위험하길래, 그리고 또 이런 침투 경로가 판매된다는 것이 도대체 어떤 것을 의미하는지 되게 궁금하더라고요. 한 번 설명을 해주신다면요?
■ 곽경주 이사 네, 이런 일단 컨플루언스가 뭐냐면은 일종의 협업 도구입니다. 기업 내부에서 거의 사용한다고 보시면 되고 기업 내부에서 서로 업무를 각 팀별로 아니면 본인의 팀에서 뭔가 업무를 하는데 그것에 대한 업무적인 기록들을 ‘컨플루언스’라는 이 솔루션을 통해서 기록을 하고 서로 소통을 하는 것인데요. 얼마 전 랩서스 이슈 때도 마찬가지로, 랩서스가 국내 회사나 해외 회사을 해킹할 때 컨플루언스 타깃팅을 많이 했거든요. 그 안에 굉장히 많은 업무 자료가 있기 때문이죠. 그 컨플루언스만 해킹해서 가져가도 내부 정보가 많이 들어있거든요.
그래서 이를 타깃으로 했었고 이번에 말씀하신 취약점 같은 경우에는 ‘CVE-2022-26134’ 취약점 일텐데요. 해당 취약점은 5월 31일 해외 보안업체에서 실제 보안사고에서 사용된 취약점이라고 하면서 제보를 했어요. 당시까지는 제로데이였죠. 이제 패치가 없는 걸 의미하죠. 그리고 나서 6월 3일에 패치가 공개가 됐고, 그리고 나서 여러 회사들에서 거기에 대한 대응 방법들을 공개하고 있고요. 그러다가 얼마 전에 또 말씀하셨던 ‘50개 기업의 해당 취약점이 있는 서버가 외부에 노출돼 있다’라고 하면서 다크웹 포럼에 그런 게시글이 올라왔었고요. 샘플 데이터도 같이 올라왔었는데, 국내 회사 같은 경우에는 저희가 입수를 해서 적절하게 대응 조치를 했었고요.
□ 권준 국장 아, 국내 회사도 있었나요?
■ 곽경주 이사 네, 국내 회사들도 몇 곳 있어서 그런 것들은 조치를 했었고요. 이 해당 취약점을 사용하는 그룹에는 ‘AvosLocker’와 ‘CerBer’라고 케르베르라고도 부르는데요. ‘CerBer imposter’라고 부르기도 하고요. 또한, DEV-0401 등 이런 많은 공격 그룹에서 해당 취약점을 사용하고 있는 것으로 알려져 있습니다.
□ 권준 국장 알겠습니다.
[다크웹에서 거래되는 비밀번호가 246억개!?]
□ 권준 국장 최근에 아주 이슈가 많은데요. 또 얼마 전에는 다크웹에서 보고서 하나가 발표된 것으로 알고 있습니다. 이와 관련해서 현재 다크웹에서 거래되는 크리덴셜(Credential) 즉 비밀번호 이런 계정들을 의미하는 수량이 무려 246개??
■ 곽경주 이사 246억 개
□ 권준 국장 억개! (웃음)
■ 곽경주 이사 246개면은 제가 쓰는 것 그냥... (웃음)
□ 권준 국장 그러니깐요. (웃음) 246‘억’개! 사실 246억개면 지구상에 거주하는 모든 인구의 4배 정도에 해당되는 숫자거든요. 그래서 이 해당 조사 결과에 대해서 아마 이사님도 접하셨을텐데, 어떻게 보시고 계신지요?
■ 곽경주 이사 일단 제가 볼 때는 이것을 중복 처리를 잘하는 회사들이 많이 없어요. 저희 회사(S2W) 같은 경우에도 이 ‘크리덴셜 릭(Credential Leak)’을 계속 보고 있는데요. 중복 처리가 상당히 애로사항이 많습니다. 그래서 이 246억 개를 숫자 그대로 받아 들이시면 너무 공포스러우실 것 같고. 여기서 제가 얼마 정도를 깎아야 된다고 말은 못하겠어요. 근데 246억 개 중에 중복 처리하고 이것저것 제대로 수집이 안된 데이터들 깨져있는 데이터들 그런 것까지 다 제거하고 보면은 246억 개는 아닐 거예요.
근데 그렇지만 그럼에도 불구하고 크리덴셜 자체는 상당수 많이 나가 있습니다. 우리나라만 해도 몇 백만 개 나가 있기 때문에, 중복 제거하고 봤을 때요 몇 백만 개가 나가있기 때문에 많은 분들의 계정들이 나가 있다고 보시면 돼요. 그러니까 이 계정 안에는 개인이 사용하는 네이버나 카카오 등 이런 유명한 포털 사이트 계정 뿐만 아니라 기업 내부에서 사용하는 내부 직원들의 계정, 이런 것들도 많이 유출돼 있죠
그러니까 이렇게 데이터가 나가는 이유는 크게 2가지입니다. 먼저 ‘스틸러(Stealer)’ 악성코드라고 하는 계정 정보를 탈취하는 악성코드에 감염된 경우인데요. 이런 경우는 보통 이제 ‘토렌트(Torrent)’에서 불법 프로그램을 다운로드 받거나 그랬을 때 감염이 많이 됩니다. 그리고 두 번째로는 어떤 특정 대형 사이트가 해킹됐을 때, 그 안에 있던 유저 사용자의 데이터베이스가 해킹돼서 외부로...
□ 권준 국장 DB서버가 그냥 통째로?
■ 곽경주 이사 네, 이런 식의 사이트를 해킹해서 그곳에 있는 개인정보를 판매하는 많은 중국 쪽 그룹들도 있고요. 암암리에 거래되는 것들도 있어요. 스틸러 같은 경우에는 마켓도 있죠, 다크웹에 큰 마켓도 여러 개 있고 거기서도 판매가 되고 있죠. 랩서스도 그런 마켓에서 계정사 가지고 글로벌 게임 회사들 해킹할 때 사용하기도 했었거든요.
□ 권준 국장 246억 개... 저도 사실 너무 당황스러워서요. 제가 246개라고 실수도 하고 그랬는데요. 정말 되게 공포스러운 숫자고 이렇게 침해된 데이터들이 다 있으니까 이것은 우리 정보는 이미 다 나간 것 아니야? (라는 생각을 하기도 하고) 한 때 우리 개인정보는 공공 정보다 라는...(웃음)
■ 곽경주 이사 개인정보가 많이 나간 것 같아요.
□ 권준 국장 우스갯소리가 있을 정도로 어떻게 이 비밀번호를 관리해야 하는지 참 막막한 상황인 것 같은데요.
■ 곽경주 이사 네 그렇죠, 그래서 계정정보를 브라우저에 저장하시는 것은 ‘지양’ 하셔야 됩니다. ‘지향’ 하시면 안 되고, ‘지양’ 하셔야 되는데요. 편의를 위해서 브라우저에 저장하고 있는 많은 계정들이 스틸러 악성코드나 이런 것에 감염됐을 때, 외부로 유출되는 것이기 때문에...
□ 권준 국장 편하니까... 계속 그곳(브라우저)에다가 사용하시는 분들이 많더라고요.
■ 곽경주 이사 네네, 저도 사실 있는데... (웃음) 불법 소프트웨어 이런 것 설치 안하셔야 되고요.
□ 권준 국장 그만큼 이제 그런 것들은, 제일 유념해야 될 것이 그런 것들은 좀 ‘지양’ 하셔야 된다는 부분이고요.
[새롭게 등장한 랜섬웨어 조직들]
□ 권준 국장 최근 아까 이제 LockBit 얘기하셨지만, 최근에 이제 새롭게 등장했던 조직도 있는 것 같아요, BlackHat? 이런 곳도 있고 BlackBasta 이런 조직도... 참 이름도 비슷비슷하기도 한데... 최근에 주목할 만한 조직이 있을까요?
■ 곽경주 이사 최근에 또 우후죽순 막 생겨나고 있거든요? 그래서 일단 저희가 보고 있는 랜섬웨어는 ‘SoildBit’이라는 것과 ‘CryptOn’이라는 랜섬웨어가 있는데, 저희는 이것을 LockBit 랜섬웨어의 카피캣(Copycat)으로 보고 있어요. LockBit의 하부에 있다라기 보다는 LockBit 그들의 비즈니스 모델이나 비즈니스를 영위하는 그런 행태를 따라가는 그런 랜섬웨어로 보이는데요. 이 랜섬웨어(SolidBit)는 또 공교롭게도 저희가 예전에 많이 말씀드렸던 ‘TengSnake’ 라는 조직이랑 좀 관련이 깊어요. TengSnake가 사용하는 그런 랜섬웨어로 보이기도 하고 TengSnake가 예전에 자기네들이 ‘야시마(Yashma)’라는 랜섬웨어를 이용해서 랜섬웨어를 만들겠다 얘기를 한 적이 있는데요, 그 중에 하나가 지금 SolidBit이에요.
그리고 CryptOn이라는 것도 지금 최근에 생겨서 뭔가 활동이 보이고 있어서요. 저희가 주목하고 있고. 그 다음에 BlackBasta 랜섬웨어로 넘어가 보면 이것 같은 경우에는 최근에 ‘락빗썹(LockBitSupp)’이라는 LockBit 랜섬웨어 운영자가 있어요. 이것(락빗썹)은 아이디, 유저 명이거든요. 이 락빗썹이라는 사람이 BlackBasta 랜섬웨어는 ‘Conti’ 랜섬웨어의 리브랜드(ReBrand)라고 이야기하기도 했습니다. Conti는 셧다운 됐었잖아요? 근데 이제 거기 남아있던 잔당들이 나와서 뭔가 리브랜딩해서 영위를 하고 있는 듯한 그런 모습을 보이고 있고요. BlackBasta 같은 경우에는 올해 6월 8일에 ‘오리간(O’regan)’이라고 하는 자동차 딜러 회사도 공격 했었고. 최근에는 또 ‘리눅스(Linux)’ 버전의 랜섬웨어를 만들어서 리눅스 서버들 대상으로도 공격을 하고 있고요.
그 다음에 ‘Raccoon’ 스틸러 악성코드가 있어요. Raccoon 스틸러라고, 스틸러 중에서도 가장 활발한 그런 스틸러 중에 하나인네요. ‘Vidar’나 ‘RedLine’처럼요. Raccoon 스틸러는 특이한 게 올해 3월 25일에 다크웹 포럼 상에서, 우크라이나 러시아 전쟁으로 인해서 Raccoon 스틸러 핵심 개발자가 사망했다라는 얘기가 올라왔었고 활동을 일시 중단했었거든요. 그랬었는데, 이것을 사실 RedLine으로 오해하고 계신 분들도 있어요. 그런데 Raccoon 스틸러 개발자가 사망했던 것이고요. 그런데 최근인 5월이 좀 지나서 텔레그램 채널에 새로운 버전의 Raccoon 스틸러 개발이 완료됐다는 공지가 떴고요. 그러면서 6월 9일부터 다크웹 포럼에서도 활동을 재개하고 있고요. 그러면서 Raccoon 스틸러 버전 2가 나옵니다. 예전에는 버전 1이었는데요. 분석 결과, 기능적으로 특별한 것은 크게 없습니다. 브라우저에서 계정 가져가고 그 다음에 특정 디렉토리에서 파일 가져가고 이런 기능들은 대동소이하고요. 그런데 근데 버전 1에 비해서 좀 미완성된 코드들이 있어요. 로직적으로 미완성된 코드들이 있어서 앞으로도 계속 유지보수를 할 것 같아요. 이런 스틸러 악성코드 만드는 제작자들은 유지보수 정신이 투철합니다. 돈을 받기 때문에 프로 정신이 있어요.
□ 권준 국장 더 업그레이드한다?
■ 곽경주 이사 네. 구매자들한테 계속 업데이트를 제공하고 있고요. 마찬가지로 Raccoon 스틸러 악성코드도 크랙된 소프트웨어, 불법 소프트웨어 통해서 많이 감염이 되고 있습니다.
□ 권준 국장 아, 네. 결국은 불법 소프트웨어 다운 받을 때 같이 Raccoon 스틸러 악성코드가 다운되어 거기서 정보를 탈취해 가는 그런 방식으로 하는 거군요.
■ 곽경주 이사 마지막으로 좀 말씀드리면 ‘holyghost’라고 있는데요. holyghost는 꽤 오래됐어요. 2021년 12월부터 다크웹 상에서 처음 발견되고 했었는데요. 그리고 자기네들 말로는 8년 동안 활동했다고 그랬거든요. 다크웹에서는 2021년부터 나오지만, 실제로는 한 8년 정도 했는데 자기네들은 한 번도 잡힌 적 없다는 식으로 글을 쓰고 있는데요. 해당 조직이 국가급 배후의 공격 그룹이랑 뭔가 연관이 있다는 첩보들도 있어서요. 그래서 저희가 최근에 holyghost는 계속 보고 있습니다. 해당 조직도 좀 기억해두시면 좋을 것 같고.
그 다음에 진짜 진짜 마지막으로 (웃음) ‘Robinhood’라는 조직이 있어요. Robinhood 조직은 최근에 ‘코지마 프레스 공업’이라는 자동차 부품 업체로 여기가 ‘도요타(Toyota)’ 에다가 (자동차 부품을) 납품하는 업체인데요. 여기가 Robinhood라는 랜섬웨어에 감염이 되면서 공장이 전면 중단됐고, 도요타도 며칠 간 자동차를 생산하지 못했습니다. 이렇듯 최근에는 부품 업체, 서드파티 업체들을 공격하면서 실제 도요타와 같은 제조업체들까지 피해를 보는 그런 양상들도 보입니다.
□ 권준 국장 Robinhood.. 의적은 아니죠? 좋은 활동을 하는...?
■ 곽경주 이사 아... 로빈후드를 욕 보이고 있는... 그런... (웃음) 욕보이고 있습니다.
□ 권준 국장 그러네요. (웃음)
■ 곽경주 이사 이게 (이번 영상이) 해외로 나가서 Robinhood가 보면 제가 좀 위험할 것 같은데.
□ 권준 국장 네. 이름을 아주 거창하게 의적처럼 지었는데 하는 짓은 (다른 사이버 범죄 조직과) 똑같다고 생각하면 될 것 같네요. (웃음)
[중국 국민 10억명 개인 정보 다크웹 유출!?]
□ 권준 국장 최근에 사실 또 크게 이슈가 된 것이, 지금 억억 소리가 많이 나는데...
중국 국민 10억 명의 개인정보가 다크웹 포럼, 얼마 전에 저희가 한 번 소개한 적이 있는 것 같아요, ‘브리치포럼(BreachForums)’에 올라와서 이것(중국 국민 10억명의 개인정보)을 판매 중에 있다는 얘기도 있었거든요. 그런데 아직까지 중국에서는 공식 발표는 없는 것 같은데 이 사안에 대해서는 어떻게 보고 계세요?
■ 곽경주 이사 네. 일단 이것 같은 경우에는 좀 설명을 드리면은 상하이에 있는 국가 경찰, SHGA라고 하는 그 데이터베이스가 유출된 거고, 이것은 해킹이라기보다 설정 오류 같거든요. ┖바이낸스(Binance)┖ 대표가 트위터에 올렸어요. 자기네들 인텔리전스팀에서 확인한 바로는, 바이낸스는 가상자산 거래소 중에 가장 큰 최대 규모 거래소인데 거기 내부에도 인텔(리전스)팀이 있는 것 같아요. 중국 쪽이랑 뭔가 또 커넥션이 있고 하니까, 그쪽에서 인텔팀이 ‘휴민트(HUMINT)’를 돌렸든가 한 것 같은데요. 그 국가경찰, 상하이 국가경찰이 내부 데이터 베이스를 옮기는 과정에서 ‘엘라스틱 서치(Elasticsearch)’라는 것을 사용하고 있는데 외부에 노출될 수가 있어요, 그 데이터베이스는 보안 설정을 잘못하면, 그 과정에서 유출이 된 것 같고요.
이 안에는 10억 명의 중국 시민 데이터가 들어있습니다. 그리고 사건번호, 경찰 데이터베이스다 보니까 사건번호라든가, 사건 담당팀, 사건에 대한 설명, 그리고 전화번호 주소 이런 것들도 있고요. 그 다음에 범죄자들 기록이 당연히 있겠고 그 다음에 시티즌(Citizen)들 중국 내부에 있는 시민들의 정보, 개인정보들이 대량 들어가 있었고요.
그리고 모바일 기기 접속 로그라고 해서 경찰들의 근무지, 그리고 접속시간 이런 것들 뭔가 모바일 기기 기반으로 업무를 하는 게 있는 것 같은데요. 그런 기록들이 다 그 안에 있었던 것이고, 이것은 샘플 데이터만 본 것이에요. 걔네들(해커들)이 유출한 샘플 데이터만 본 것이고 실제 데이터는 이것보다 훨씬 많겠죠. 그래서 그런 것들이 나간 겁니다.
이 데이터에 대한 유출 글이 브리치포럼 뿐만 아니라 최초에는 ‘램프(RAMP)’에 올라왔었고요. 6월 28일에 ‘램프’라는 원래 랜섬웨어 그룹들 모여서 이제 커뮤니티라고 만든 사이트인데요. 거기에 ‘차이나댄(chinadan)’이라고 하는 유저가 최초에 램프에 올리고 그리고 나서 다음날 ‘액세스 브로커(Access broker)’라고 하는 유저가 ‘익스플로잇(Exploit)’ 포럼에 올렸고, 그리고 ‘브리치포럼’, 중국 내부의 ‘딥믹스(DeepMix)’라는 또 포럼이 있거든요. 그 딥믹스라는 포럼에도 올라가고 있는데... 최초 게시자, 최초 게시 이후의 다른 게시물들은 대부분 최초 게시물을 본 따 가지고 자기네들이 파는 것처럼 올리는 그런 것도 보여요. 그래서 그런 것이 있고요. 그래서 이 데이터가 계속 계속해서 번져나가면서 유포가 되고 있습니다.
□ 권준 국장 이사님이 보시기에 전체 데이터를 본 것은 아니기 때문에, 이게 시범용이라고 사실 중국 정부에서도 엄청나게 신경을 써야 되는 데이터인데요. 이게 정말 (개인정보가) 다 들어있다고 보시는 것인가요?
■ 곽경주 이사 일단 샘플 데이터만 봤을 때는, 블러핑(bluffing)은 아닌 것 같아요. 얘네들이 그냥 허세 부리려고 하는 것은 아닌 것 같고요. 감히 중국을 대상으로 이렇게 허세를 부리면은... (웃음) 안되겠죠? 그래서 허세는 아니라고 보고, 실제로 (개인정보) 나간 것으로 보이는데요. 그리고 바이낸스 대표의 트위터를 봐도, 구체적인 정황들이 보이기 때문에 실제 그런 일들이 있었던 것 같아요.
□ 권준 국장 그러면 이것을... 이게 아무래도 중국인이라고 하면은 애국심이라는 것도 있기 때문에요. 이렇게 판매하고 유출하는 것이 쉽지는 않을 것 같거든요. 이 조직은 중국인들은 아니고 다른 조직이라고 봐야 하나요?
■ 곽경주 이사 그렇게 보이는데, 정확하게 지금 나온 것은 없습니다.
□ 권준 국장 조금 더 결과를 지켜봐야 되겠네요. 아직 중국 정부 당국의 공식 입장이 없어서 사실 어떻게 처리가 되는지는 조금 더 지켜봐야 될 것 같고요. 다음에 다시 소개를 해주시면 좋을 것 같습니다.
■ 곽경주 이사 알겠습니다.
[최근 한 달간 다크웹 피해 통계 현황]
□ 권준 국장 그리고 우리 한 달 동안의 (다크웹에서) 활발했던 동향이라든가, 피해 국가 그 다음에 피해 현황에 대해서 한 번 통계를 좀 집계를 해주신다면요?
■ 곽경주 이사 아, 네. 일단 한 달 동안 있었던 랜섬웨어 공격 그룹 TOP 5를 보시면은 항상 거의 대동소이합니다. 근데 이제 Conti가 많이 하락했고, LockBit, 2.0 버전의 LockBit이 1위였고, ‘Vice Society’라고 하는 또 다른 랜섬웨어가 있어요, 그들이 피해 기업을 좀 많이 양산했고. 그리고 오늘 대화 중에 나왔던 ‘Blackcat’도 열심히 활동을 했습니다.
그리고 피해 산업군을 보게 되면, 제조업권, 그리고 건설 쪽이 1, 2위를 차지하고 있고요. 그 다음에 (피해) 국가는 단연 ‘미국’이 67.9%로, 그 다음으로는 이제 영국, 캐나다, 독일, 이탈리아 순인데, 1위와 격차가 큰 2~5위입니다.
□ 권준 국장 한국 기업들은 피해 사례가 좀 있을까요?
■ 곽경주 이사 한국 기업들은 다크웹을 기반으로 한 랜섬웨어로 피해를 입은 것들은 공개적으로 이렇게 드러나지 않고 있고요. 그 외에 ‘귀신’ 랜섬웨어나 이런 것들에 대한 피해는 한 3~4월 이후로는 아직 들리지는 않고 있어요. 그런데 이제 중소 규모의 다른 랜섬웨어들, 그런 랜섬웨어들한테 당했다라는 소식들은 간간히 들리고 있어요.
□ 권준 국장 결국은 가장 돈이 많은 미국을 타깃으로 하는 랜섬웨어 조직이 가장 많다는 얘기가 될 것 같고요.
□ 권준 국장 아무래도 이제 7~8월 여름휴가잖아요, 이렇게 사이버 상황이 혼란스러운데요. 보안담당자들도 그렇고 일반 직원들도 그렇고 참 휴가 가기 부담스럽고, 특히 보안 담당자들이 부담스러울 것 같은데요. 회사나 집을 비울 때, 마지막으로 우리 이사님께서 조금 보안담당자하고 아마 일반 직원은 조금 다를 것 같거든요? 이런 것만은 보안 측면에서 좀 신경을 써야 되겠다 그런 것을 꼽아주신다면요?
■ 곽경주 이사 사실 보안 담당자 입장에서는 휴가 중에 사실 사고 안나길 기도해야죠, 네 사고 안나길 기도해야 하는 것이고. 아무리 만반의 준비를 거치고 뭐, 서버 다 끄고 갈 수는 없잖아요? 저희 휴가가 있는 동안 아무도 일하지 마세요~ 서버 다 끄고 그룹웨어 다 끄고 할 수는 없으니까 일단 첫 번째로 물 떠놓고 기도하셔라. (웃음) 사고 안나길 기도하셔야 되고, 인수인계 자체는 잘하고 가셔야겠죠, 업무 자체에 대해서 다른 사람들이 이제 메꿔줄 수 있는 그런 것들을 체계를 좀 만들어 나가야 되고 사실 대체자가 없는 회사의 보안 담당자가 제일 어렵죠.
□ 권준 국장 문제죠.
■ 곽경주 이사 네, 휴가 가기도 어렵죠. 그런 분들은. 그래서 그런 분들은 휴가지에서도... 휴가를 꼭 가셔야 된다 그러시면 가서 이제 연락 좀 잘 받으시고 원격으로 대응할 수 있는 만들어서 나가셔야 될 것 같고요. 네, 그리고 일반 가정집에 계신 분들은 그냥 컴퓨터 잘 끄고 다니셔야죠. (웃음)
□ 권준 국장 (웃음) 알겠습니다. 결국은 회사 직원들도 일단은 컴퓨터는 반드시 좀 꺼놓고, 또 원격으로 이제 업무 하시는 분들도 사실 많은데, 그런 부분에 있어서도 계정 관리라든가, 특히 아까 잠깐 말씀해주셨지만, 브라우저에 어떤 계정을 저장해놓는 것은 가급적 지양하는 것이 제일 중요할 것이라는 생각이 좀 들고요. 하여튼 보안담당자들 여름에도 사실 마음 편히 휴가 못 갔다 오시는데, 정말 저희 방송이 도움이 되셨으면 좋겠고요. 틈틈히 휴식을 취하실 수 있으면 좋겠습니다.
□ 권준 국장 오늘 워낙 이슈가 많았네요. 저희가 또 구독자들도 만 명을 앞두고 있는 상황에서 저희가 이제 라이브를 좀 진행을 해봤는데요. 정말 중요한 소식들 또 많이 말씀해주셔서 감사드리고, 다음에도 좋은 말씀 또 부탁드리겠습니다. 휴가 잘 다녀오시고요.
■ 곽경주 이사 아, 네 알겠습니다. 휴가 잘 다녀오십시오.
□ 권준 국장 이만 마치겠습니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
다크웹에서 거래되는 비밀번호가 246억개? 중복 제거할 경우 많이 줄어들 듯
새롭게 등장한 랜섬웨어 조직? SoildBit, CryptOn, BlackBasta 등 주목해야
■ 방송 : 보안뉴스TV(bnTV) 라이브<곽경주의 다크웹 인사이드> 12화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 오랜만에 다시 인사드립니다. 저희가 또 오랜만에 다크웹 인사이드 라이브를 진행하게 됐는데요, 이사님 그간 잘 지내셨죠?
■ 곽경주 이사 아~ 네 잘 지냈습니다.
□ 권준 국장 올해 여름 휴가는 어떻게 어디로 계획하고 계신가요?
■ 곽경주 이사 전혀 계획 없고요. (웃음) 일이 바빠서 전혀 계획은 없고, 지금 요새 비행기 값도 비싸서 어디 나갈 엄두를 못내고 있는데요. 그냥 이번 달에는 싱가포르 한 번 갈 것 같아요. 인터폴 회의가 있어서요.
□ 권준 국장 아, 그러세요?
■ 곽경주 이사 네네.
□ 권준 국장 이사님, 예전에 사실 제가 해외여행 가셔 가지고 찍은 사진 페이스북에서 보고 엄청 많이 부러워했거든요.
■ 곽경주 이사 네, 저도 그때의 제가 부럽습니다. (웃음)
▲bnTV 라이브 [곽경주의 다크웹 인사이드] 12화 시작 화면[이미지=보안뉴스]
[해커조직 LockBit의 버그바운티]
□ 권준 국장 하여튼 출장이라도 잘 다녀오시고요, 그간 사실 다크웹, 그리고 사이버 범죄 조직도 이슈가 많았던 것 같습니다. 그 중에서도 제가 요즘에 주목한 것은 요즘 제일 잘 나간다는 랜섬웨어 해커조직 ‘록빗(LockBit)’ 있잖아요? 거기서 ‘버그바운티(Bug bounty)’를 한다는 소식을 접했거든요. 일반 기업에서 사실 취약점을 찾으려고 버그바운티를 한다는 얘기는 들어봤어도 이러한 범죄조직에서 버그바운티를 한다는 게 너무 또 새롭더라고요. 그래서 이사님께서 먼저 버그바운티의 개념에 대해서 먼저 좀 간단하게 소개를 해주시고. ‘LockBit’이 진행하는 버그바운티는 어떤 형태로 진행되는지 한 번 좀 설명을 해주신다면요?
■ 곽경주 이사 우선 버그바운티는 쉽게 말씀드리면은 그냥 버그를 찾거나 취약점 찾아서 제보하면 돈을 준다는 겁니다. 근데 이게 보통은 우리나라 기관이나 큰 기업들이나 이런 곳에서 자사 솔루션 같은 것들, 흔히 많이들 사용하는 솔루션들, 소프트웨어들에 대한 취약점을 찾아서 제보하면 돈을 주는 식으로 운영이 되는 것인데요. 대표적으로 마이크로소프트나 구글이나 우리나라의 한국인터넷진흥원이나 이런 곳에서 버그바운티하고 있거든요.
근데 이번에 보면은 LockBit이 3.0, 지금까지는 2.0이었는데 3.0으로 업그레이드를 하면서 버그바운티를 시작을 했어요. 이 버그바운티 대상은 총 6개입니다. 일단 첫 번째로 웹사이트 자기네 LockBit에 다크웹 상에 있는 웹사이트의 취약점이 발견됐을 경우에 본인들에게 제보를 하면 돈을 주겠다 이런 것이고요.
그리고 ‘덕싱(Doxing)’이라고 해서 특정 인물의 신원을 파악하는 것이죠. 사이버상에서의 사이버 아이덴티티가 있을 것인데, 그것을 실제 오프라인상에서의 실제 인물의 이름이라든가 주소라든가 전화번호라든가 이런 것을 캐내는 것을 ‘덕싱’이라고 하는데 그 덕싱의 대상은 파트너 그룹의 보스입니다. LockBit 같은 이런 큰 랜섬웨어 같은 경우에는 본점이 있고 그 밑에 이제 대리점 같은 것들이 있어요. 그 대리점들이 열심히 뛰면서 피해 기업들을 해킹하는 것인데요. 그런 파트너사 대리점의 보스에 사장님의 신상 정보를 알아오면 돈을 주겠다 그런 것입니다. 이것은 그 해당 보스를 ‘어떻게 하겠다’ 라기 보다는 파트너 사들의 신상정보도 보호가 돼야되기 때문에 그래서 그런 것을 하는 것 같고요.
그리고 그 다음에 ‘로커버그(Locker Bugs)’라고, 이 부분도 이제 아이템으로 내놨는데 랜섬웨어의 암호화 취약점입니다. 보통 이제 랜섬웨어들이 복호화 도구들이 많이 생기죠. 공공기관들에서도 만들고 있고, 그 다음에 ‘노모어 랜섬(No more Ransom)’이라 그래서 유로폴을 구심점으로 해서 뭉쳐있는 ‘노모어 랜섬’이라는 그 단체도 있는데요. 그 노모어 랜섬에서는 각 랜섬웨어의 복호화 도구를 만들어서 배포를 하고 있어요. 그 때 배포를 할 때 보면은 그 중에 대다수를 차지하는 것들이 랜섬웨어의 암호화를 구현하는 단계에서 구현이 좀 잘못돼 가지고, 구현상의 취약점으로 인해서 복호화가 되기도 하고 그러거든요. 그래서 LockBit은 자기네들 랜섬웨어 악성코드에 암호화 과정에서의 취약점을 발견해서 제보하면 돈을 주겠다 라는 것이었습니다.
그 다음에는 이제 ‘톡스 메신저(Tox messenger)’ 라는 것이 있어요. ‘톡스(Tox)’라는 것이 있는데 이게 뭐냐면 다크웹 네트워크 기반의 메신저이거든요. 일종의 메신저인데 저희 카카오톡 쓰고 그러잖아요. 그런 것처럼 범죄자들이 주로 사용하는 메신저인데요. 이 메신저의 취약점을 찾아서 제보해주면 돈을 주겠다는 겁니다. 이게 왜 그러냐면, 이 톡스 메신저를 사용해서 범죄자들이 서로 은밀한 얘기를 많이 할 것이잖아요. 그런데 이제 중간에서 대화 내용을 가로챈다든가, 그 내용을 알 수 있는 취약점이 있으면은 본인들한테도 크리티컬하기 때문에 그 취약점을 알려달라는 것이죠.
그 다음에 이제 ‘브릴리언트 아이디어스(Brilliant ideas)’라고 해가지고, 그냥 자기네들한테 LockBit의 비지니스, 그들에게는 비즈니스죠. 그런 비즈니스에서 이익을 줄 수 있는 어떤 아이디어든 상관없다고 아이디어를 달라는 겁니다. 그러면 돈을 주겠다는 것이고요.
그 다음에 다크웹에 접속할 수 있는 ‘토르 네트워크(Tor Network)’의 취약점을 알려주면은 또 돈을 주겠다는 건데요. 왜 그러냐면 이제 LockBit 같은 랜섬웨어들은 다크웹의 인프라를 숨겨놓고 활동을 하는데, 이 다크웹, 토르 네트워크 자체에 취약점이 있으면 그들의 서버를 은닉시켜 놨더라도 실제 IP가 발각된다든가 할 수 있거든요. 실제 서버의 IP가 발각되면 이제 수사기관이나 이런 곳에서 압수를 할 수도 있고 들어갈 수도 있겠죠. 그러면 본인들이 잡힐 수 있는 여지도 많아지고, 그래서 이런 부분들에 대한 전반적인 버그바운티를 하고 있고요. 보상(Reward)은 1,000달러에서부터 100만달러까지 주는 것으로 되어 있습니다. 우리나라 돈으로 환산하면 한 12억 정도.
□ 권준 국장 엄청나게 광범위하게 다양한 분야에서 (버그바운티를) 하는데요. 이 상금을 돈으로 주거나 또 아니면 ‘개인 식별 정보’나 ‘익스플로잇(exploit)’이라고 해킹할 수 있는 도구로 준다는 얘기도 있던데요?
■ 곽경주 이사 네네. 그런 것들도 준다는 얘기가 있고요, 그건 이제 공격자들한테는 그런 것들도 큰 도움이 되기 때문에 LockBit 같은 이런 대형 랜섬웨어 조직에서 사용하는 해킹 도구 같은 경우에는 굉장히 고도화 되어 있을 것이기 때문에 그런 것을 준다는 것입니다.
□ 권준 국장 그러면은 돈으로 줄 수도 있고 원한다면 그렇게(개인 식별 정보, 해킹도구)도 줄 수 있다 이런 것인가요?
■ 곽경주 이사 네, 그렇습니다.
□ 권준 국장 알겠습니다. 하여튼 이번에 참 또 이런 획기적인 소식, 범죄조직이 버그바운티를 한다는 소식이 좀 있어서 우리 이사님한테 자세한 설명을 들어봤고요.
■ 곽경주 이사 이제는 도둑놈들이 더한 것 같습니다. (웃음)
□ 권준 국장 그러니깐요.. 네, 더 철저하군요.
[아틀라시안 컨플루언스, 제로데이 취약점 발견]
□ 권준 국장 얼마 전에 ‘아틀라시안 컨플루언스(Atlassian Confluence)’라고 협업 플랫폼, 거기서 제로데이 취약점이 발견돼 이슈가 된 바 있었거든요. 현재는 지금 알기로는 패치가 된 것으로 알고는 있는데, 패치를 하지 않아서 해킹이 가능한 기업들이 있다. 그래서 그런 50여개 기업의 어떤 침투 경로를 다크웹에서 판매 중이다. 또 이런 얘기를 들어서요. 이번 취약점이 얼마나 위험하길래, 그리고 또 이런 침투 경로가 판매된다는 것이 도대체 어떤 것을 의미하는지 되게 궁금하더라고요. 한 번 설명을 해주신다면요?
■ 곽경주 이사 네, 이런 일단 컨플루언스가 뭐냐면은 일종의 협업 도구입니다. 기업 내부에서 거의 사용한다고 보시면 되고 기업 내부에서 서로 업무를 각 팀별로 아니면 본인의 팀에서 뭔가 업무를 하는데 그것에 대한 업무적인 기록들을 ‘컨플루언스’라는 이 솔루션을 통해서 기록을 하고 서로 소통을 하는 것인데요. 얼마 전 랩서스 이슈 때도 마찬가지로, 랩서스가 국내 회사나 해외 회사을 해킹할 때 컨플루언스 타깃팅을 많이 했거든요. 그 안에 굉장히 많은 업무 자료가 있기 때문이죠. 그 컨플루언스만 해킹해서 가져가도 내부 정보가 많이 들어있거든요.
그래서 이를 타깃으로 했었고 이번에 말씀하신 취약점 같은 경우에는 ‘CVE-2022-26134’ 취약점 일텐데요. 해당 취약점은 5월 31일 해외 보안업체에서 실제 보안사고에서 사용된 취약점이라고 하면서 제보를 했어요. 당시까지는 제로데이였죠. 이제 패치가 없는 걸 의미하죠. 그리고 나서 6월 3일에 패치가 공개가 됐고, 그리고 나서 여러 회사들에서 거기에 대한 대응 방법들을 공개하고 있고요. 그러다가 얼마 전에 또 말씀하셨던 ‘50개 기업의 해당 취약점이 있는 서버가 외부에 노출돼 있다’라고 하면서 다크웹 포럼에 그런 게시글이 올라왔었고요. 샘플 데이터도 같이 올라왔었는데, 국내 회사 같은 경우에는 저희가 입수를 해서 적절하게 대응 조치를 했었고요.
□ 권준 국장 아, 국내 회사도 있었나요?
■ 곽경주 이사 네, 국내 회사들도 몇 곳 있어서 그런 것들은 조치를 했었고요. 이 해당 취약점을 사용하는 그룹에는 ‘AvosLocker’와 ‘CerBer’라고 케르베르라고도 부르는데요. ‘CerBer imposter’라고 부르기도 하고요. 또한, DEV-0401 등 이런 많은 공격 그룹에서 해당 취약점을 사용하고 있는 것으로 알려져 있습니다.
□ 권준 국장 알겠습니다.
[다크웹에서 거래되는 비밀번호가 246억개!?]
□ 권준 국장 최근에 아주 이슈가 많은데요. 또 얼마 전에는 다크웹에서 보고서 하나가 발표된 것으로 알고 있습니다. 이와 관련해서 현재 다크웹에서 거래되는 크리덴셜(Credential) 즉 비밀번호 이런 계정들을 의미하는 수량이 무려 246개??
■ 곽경주 이사 246억 개
□ 권준 국장 억개! (웃음)
■ 곽경주 이사 246개면은 제가 쓰는 것 그냥... (웃음)
□ 권준 국장 그러니깐요. (웃음) 246‘억’개! 사실 246억개면 지구상에 거주하는 모든 인구의 4배 정도에 해당되는 숫자거든요. 그래서 이 해당 조사 결과에 대해서 아마 이사님도 접하셨을텐데, 어떻게 보시고 계신지요?
■ 곽경주 이사 일단 제가 볼 때는 이것을 중복 처리를 잘하는 회사들이 많이 없어요. 저희 회사(S2W) 같은 경우에도 이 ‘크리덴셜 릭(Credential Leak)’을 계속 보고 있는데요. 중복 처리가 상당히 애로사항이 많습니다. 그래서 이 246억 개를 숫자 그대로 받아 들이시면 너무 공포스러우실 것 같고. 여기서 제가 얼마 정도를 깎아야 된다고 말은 못하겠어요. 근데 246억 개 중에 중복 처리하고 이것저것 제대로 수집이 안된 데이터들 깨져있는 데이터들 그런 것까지 다 제거하고 보면은 246억 개는 아닐 거예요.
근데 그렇지만 그럼에도 불구하고 크리덴셜 자체는 상당수 많이 나가 있습니다. 우리나라만 해도 몇 백만 개 나가 있기 때문에, 중복 제거하고 봤을 때요 몇 백만 개가 나가있기 때문에 많은 분들의 계정들이 나가 있다고 보시면 돼요. 그러니까 이 계정 안에는 개인이 사용하는 네이버나 카카오 등 이런 유명한 포털 사이트 계정 뿐만 아니라 기업 내부에서 사용하는 내부 직원들의 계정, 이런 것들도 많이 유출돼 있죠
그러니까 이렇게 데이터가 나가는 이유는 크게 2가지입니다. 먼저 ‘스틸러(Stealer)’ 악성코드라고 하는 계정 정보를 탈취하는 악성코드에 감염된 경우인데요. 이런 경우는 보통 이제 ‘토렌트(Torrent)’에서 불법 프로그램을 다운로드 받거나 그랬을 때 감염이 많이 됩니다. 그리고 두 번째로는 어떤 특정 대형 사이트가 해킹됐을 때, 그 안에 있던 유저 사용자의 데이터베이스가 해킹돼서 외부로...
□ 권준 국장 DB서버가 그냥 통째로?
■ 곽경주 이사 네, 이런 식의 사이트를 해킹해서 그곳에 있는 개인정보를 판매하는 많은 중국 쪽 그룹들도 있고요. 암암리에 거래되는 것들도 있어요. 스틸러 같은 경우에는 마켓도 있죠, 다크웹에 큰 마켓도 여러 개 있고 거기서도 판매가 되고 있죠. 랩서스도 그런 마켓에서 계정사 가지고 글로벌 게임 회사들 해킹할 때 사용하기도 했었거든요.
□ 권준 국장 246억 개... 저도 사실 너무 당황스러워서요. 제가 246개라고 실수도 하고 그랬는데요. 정말 되게 공포스러운 숫자고 이렇게 침해된 데이터들이 다 있으니까 이것은 우리 정보는 이미 다 나간 것 아니야? (라는 생각을 하기도 하고) 한 때 우리 개인정보는 공공 정보다 라는...(웃음)
■ 곽경주 이사 개인정보가 많이 나간 것 같아요.
□ 권준 국장 우스갯소리가 있을 정도로 어떻게 이 비밀번호를 관리해야 하는지 참 막막한 상황인 것 같은데요.
■ 곽경주 이사 네 그렇죠, 그래서 계정정보를 브라우저에 저장하시는 것은 ‘지양’ 하셔야 됩니다. ‘지향’ 하시면 안 되고, ‘지양’ 하셔야 되는데요. 편의를 위해서 브라우저에 저장하고 있는 많은 계정들이 스틸러 악성코드나 이런 것에 감염됐을 때, 외부로 유출되는 것이기 때문에...
□ 권준 국장 편하니까... 계속 그곳(브라우저)에다가 사용하시는 분들이 많더라고요.
■ 곽경주 이사 네네, 저도 사실 있는데... (웃음) 불법 소프트웨어 이런 것 설치 안하셔야 되고요.
□ 권준 국장 그만큼 이제 그런 것들은, 제일 유념해야 될 것이 그런 것들은 좀 ‘지양’ 하셔야 된다는 부분이고요.
[새롭게 등장한 랜섬웨어 조직들]
□ 권준 국장 최근 아까 이제 LockBit 얘기하셨지만, 최근에 이제 새롭게 등장했던 조직도 있는 것 같아요, BlackHat? 이런 곳도 있고 BlackBasta 이런 조직도... 참 이름도 비슷비슷하기도 한데... 최근에 주목할 만한 조직이 있을까요?
■ 곽경주 이사 최근에 또 우후죽순 막 생겨나고 있거든요? 그래서 일단 저희가 보고 있는 랜섬웨어는 ‘SoildBit’이라는 것과 ‘CryptOn’이라는 랜섬웨어가 있는데, 저희는 이것을 LockBit 랜섬웨어의 카피캣(Copycat)으로 보고 있어요. LockBit의 하부에 있다라기 보다는 LockBit 그들의 비즈니스 모델이나 비즈니스를 영위하는 그런 행태를 따라가는 그런 랜섬웨어로 보이는데요. 이 랜섬웨어(SolidBit)는 또 공교롭게도 저희가 예전에 많이 말씀드렸던 ‘TengSnake’ 라는 조직이랑 좀 관련이 깊어요. TengSnake가 사용하는 그런 랜섬웨어로 보이기도 하고 TengSnake가 예전에 자기네들이 ‘야시마(Yashma)’라는 랜섬웨어를 이용해서 랜섬웨어를 만들겠다 얘기를 한 적이 있는데요, 그 중에 하나가 지금 SolidBit이에요.
그리고 CryptOn이라는 것도 지금 최근에 생겨서 뭔가 활동이 보이고 있어서요. 저희가 주목하고 있고. 그 다음에 BlackBasta 랜섬웨어로 넘어가 보면 이것 같은 경우에는 최근에 ‘락빗썹(LockBitSupp)’이라는 LockBit 랜섬웨어 운영자가 있어요. 이것(락빗썹)은 아이디, 유저 명이거든요. 이 락빗썹이라는 사람이 BlackBasta 랜섬웨어는 ‘Conti’ 랜섬웨어의 리브랜드(ReBrand)라고 이야기하기도 했습니다. Conti는 셧다운 됐었잖아요? 근데 이제 거기 남아있던 잔당들이 나와서 뭔가 리브랜딩해서 영위를 하고 있는 듯한 그런 모습을 보이고 있고요. BlackBasta 같은 경우에는 올해 6월 8일에 ‘오리간(O’regan)’이라고 하는 자동차 딜러 회사도 공격 했었고. 최근에는 또 ‘리눅스(Linux)’ 버전의 랜섬웨어를 만들어서 리눅스 서버들 대상으로도 공격을 하고 있고요.
그 다음에 ‘Raccoon’ 스틸러 악성코드가 있어요. Raccoon 스틸러라고, 스틸러 중에서도 가장 활발한 그런 스틸러 중에 하나인네요. ‘Vidar’나 ‘RedLine’처럼요. Raccoon 스틸러는 특이한 게 올해 3월 25일에 다크웹 포럼 상에서, 우크라이나 러시아 전쟁으로 인해서 Raccoon 스틸러 핵심 개발자가 사망했다라는 얘기가 올라왔었고 활동을 일시 중단했었거든요. 그랬었는데, 이것을 사실 RedLine으로 오해하고 계신 분들도 있어요. 그런데 Raccoon 스틸러 개발자가 사망했던 것이고요. 그런데 최근인 5월이 좀 지나서 텔레그램 채널에 새로운 버전의 Raccoon 스틸러 개발이 완료됐다는 공지가 떴고요. 그러면서 6월 9일부터 다크웹 포럼에서도 활동을 재개하고 있고요. 그러면서 Raccoon 스틸러 버전 2가 나옵니다. 예전에는 버전 1이었는데요. 분석 결과, 기능적으로 특별한 것은 크게 없습니다. 브라우저에서 계정 가져가고 그 다음에 특정 디렉토리에서 파일 가져가고 이런 기능들은 대동소이하고요. 그런데 근데 버전 1에 비해서 좀 미완성된 코드들이 있어요. 로직적으로 미완성된 코드들이 있어서 앞으로도 계속 유지보수를 할 것 같아요. 이런 스틸러 악성코드 만드는 제작자들은 유지보수 정신이 투철합니다. 돈을 받기 때문에 프로 정신이 있어요.
□ 권준 국장 더 업그레이드한다?
■ 곽경주 이사 네. 구매자들한테 계속 업데이트를 제공하고 있고요. 마찬가지로 Raccoon 스틸러 악성코드도 크랙된 소프트웨어, 불법 소프트웨어 통해서 많이 감염이 되고 있습니다.
□ 권준 국장 아, 네. 결국은 불법 소프트웨어 다운 받을 때 같이 Raccoon 스틸러 악성코드가 다운되어 거기서 정보를 탈취해 가는 그런 방식으로 하는 거군요.
■ 곽경주 이사 마지막으로 좀 말씀드리면 ‘holyghost’라고 있는데요. holyghost는 꽤 오래됐어요. 2021년 12월부터 다크웹 상에서 처음 발견되고 했었는데요. 그리고 자기네들 말로는 8년 동안 활동했다고 그랬거든요. 다크웹에서는 2021년부터 나오지만, 실제로는 한 8년 정도 했는데 자기네들은 한 번도 잡힌 적 없다는 식으로 글을 쓰고 있는데요. 해당 조직이 국가급 배후의 공격 그룹이랑 뭔가 연관이 있다는 첩보들도 있어서요. 그래서 저희가 최근에 holyghost는 계속 보고 있습니다. 해당 조직도 좀 기억해두시면 좋을 것 같고.
그 다음에 진짜 진짜 마지막으로 (웃음) ‘Robinhood’라는 조직이 있어요. Robinhood 조직은 최근에 ‘코지마 프레스 공업’이라는 자동차 부품 업체로 여기가 ‘도요타(Toyota)’ 에다가 (자동차 부품을) 납품하는 업체인데요. 여기가 Robinhood라는 랜섬웨어에 감염이 되면서 공장이 전면 중단됐고, 도요타도 며칠 간 자동차를 생산하지 못했습니다. 이렇듯 최근에는 부품 업체, 서드파티 업체들을 공격하면서 실제 도요타와 같은 제조업체들까지 피해를 보는 그런 양상들도 보입니다.
□ 권준 국장 Robinhood.. 의적은 아니죠? 좋은 활동을 하는...?
■ 곽경주 이사 아... 로빈후드를 욕 보이고 있는... 그런... (웃음) 욕보이고 있습니다.
□ 권준 국장 그러네요. (웃음)
■ 곽경주 이사 이게 (이번 영상이) 해외로 나가서 Robinhood가 보면 제가 좀 위험할 것 같은데.
□ 권준 국장 네. 이름을 아주 거창하게 의적처럼 지었는데 하는 짓은 (다른 사이버 범죄 조직과) 똑같다고 생각하면 될 것 같네요. (웃음)
[중국 국민 10억명 개인 정보 다크웹 유출!?]
□ 권준 국장 최근에 사실 또 크게 이슈가 된 것이, 지금 억억 소리가 많이 나는데...
중국 국민 10억 명의 개인정보가 다크웹 포럼, 얼마 전에 저희가 한 번 소개한 적이 있는 것 같아요, ‘브리치포럼(BreachForums)’에 올라와서 이것(중국 국민 10억명의 개인정보)을 판매 중에 있다는 얘기도 있었거든요. 그런데 아직까지 중국에서는 공식 발표는 없는 것 같은데 이 사안에 대해서는 어떻게 보고 계세요?
■ 곽경주 이사 네. 일단 이것 같은 경우에는 좀 설명을 드리면은 상하이에 있는 국가 경찰, SHGA라고 하는 그 데이터베이스가 유출된 거고, 이것은 해킹이라기보다 설정 오류 같거든요. ┖바이낸스(Binance)┖ 대표가 트위터에 올렸어요. 자기네들 인텔리전스팀에서 확인한 바로는, 바이낸스는 가상자산 거래소 중에 가장 큰 최대 규모 거래소인데 거기 내부에도 인텔(리전스)팀이 있는 것 같아요. 중국 쪽이랑 뭔가 또 커넥션이 있고 하니까, 그쪽에서 인텔팀이 ‘휴민트(HUMINT)’를 돌렸든가 한 것 같은데요. 그 국가경찰, 상하이 국가경찰이 내부 데이터 베이스를 옮기는 과정에서 ‘엘라스틱 서치(Elasticsearch)’라는 것을 사용하고 있는데 외부에 노출될 수가 있어요, 그 데이터베이스는 보안 설정을 잘못하면, 그 과정에서 유출이 된 것 같고요.
이 안에는 10억 명의 중국 시민 데이터가 들어있습니다. 그리고 사건번호, 경찰 데이터베이스다 보니까 사건번호라든가, 사건 담당팀, 사건에 대한 설명, 그리고 전화번호 주소 이런 것들도 있고요. 그 다음에 범죄자들 기록이 당연히 있겠고 그 다음에 시티즌(Citizen)들 중국 내부에 있는 시민들의 정보, 개인정보들이 대량 들어가 있었고요.
그리고 모바일 기기 접속 로그라고 해서 경찰들의 근무지, 그리고 접속시간 이런 것들 뭔가 모바일 기기 기반으로 업무를 하는 게 있는 것 같은데요. 그런 기록들이 다 그 안에 있었던 것이고, 이것은 샘플 데이터만 본 것이에요. 걔네들(해커들)이 유출한 샘플 데이터만 본 것이고 실제 데이터는 이것보다 훨씬 많겠죠. 그래서 그런 것들이 나간 겁니다.
이 데이터에 대한 유출 글이 브리치포럼 뿐만 아니라 최초에는 ‘램프(RAMP)’에 올라왔었고요. 6월 28일에 ‘램프’라는 원래 랜섬웨어 그룹들 모여서 이제 커뮤니티라고 만든 사이트인데요. 거기에 ‘차이나댄(chinadan)’이라고 하는 유저가 최초에 램프에 올리고 그리고 나서 다음날 ‘액세스 브로커(Access broker)’라고 하는 유저가 ‘익스플로잇(Exploit)’ 포럼에 올렸고, 그리고 ‘브리치포럼’, 중국 내부의 ‘딥믹스(DeepMix)’라는 또 포럼이 있거든요. 그 딥믹스라는 포럼에도 올라가고 있는데... 최초 게시자, 최초 게시 이후의 다른 게시물들은 대부분 최초 게시물을 본 따 가지고 자기네들이 파는 것처럼 올리는 그런 것도 보여요. 그래서 그런 것이 있고요. 그래서 이 데이터가 계속 계속해서 번져나가면서 유포가 되고 있습니다.
□ 권준 국장 이사님이 보시기에 전체 데이터를 본 것은 아니기 때문에, 이게 시범용이라고 사실 중국 정부에서도 엄청나게 신경을 써야 되는 데이터인데요. 이게 정말 (개인정보가) 다 들어있다고 보시는 것인가요?
■ 곽경주 이사 일단 샘플 데이터만 봤을 때는, 블러핑(bluffing)은 아닌 것 같아요. 얘네들이 그냥 허세 부리려고 하는 것은 아닌 것 같고요. 감히 중국을 대상으로 이렇게 허세를 부리면은... (웃음) 안되겠죠? 그래서 허세는 아니라고 보고, 실제로 (개인정보) 나간 것으로 보이는데요. 그리고 바이낸스 대표의 트위터를 봐도, 구체적인 정황들이 보이기 때문에 실제 그런 일들이 있었던 것 같아요.
□ 권준 국장 그러면 이것을... 이게 아무래도 중국인이라고 하면은 애국심이라는 것도 있기 때문에요. 이렇게 판매하고 유출하는 것이 쉽지는 않을 것 같거든요. 이 조직은 중국인들은 아니고 다른 조직이라고 봐야 하나요?
■ 곽경주 이사 그렇게 보이는데, 정확하게 지금 나온 것은 없습니다.
□ 권준 국장 조금 더 결과를 지켜봐야 되겠네요. 아직 중국 정부 당국의 공식 입장이 없어서 사실 어떻게 처리가 되는지는 조금 더 지켜봐야 될 것 같고요. 다음에 다시 소개를 해주시면 좋을 것 같습니다.
■ 곽경주 이사 알겠습니다.
[최근 한 달간 다크웹 피해 통계 현황]
□ 권준 국장 그리고 우리 한 달 동안의 (다크웹에서) 활발했던 동향이라든가, 피해 국가 그 다음에 피해 현황에 대해서 한 번 통계를 좀 집계를 해주신다면요?
■ 곽경주 이사 아, 네. 일단 한 달 동안 있었던 랜섬웨어 공격 그룹 TOP 5를 보시면은 항상 거의 대동소이합니다. 근데 이제 Conti가 많이 하락했고, LockBit, 2.0 버전의 LockBit이 1위였고, ‘Vice Society’라고 하는 또 다른 랜섬웨어가 있어요, 그들이 피해 기업을 좀 많이 양산했고. 그리고 오늘 대화 중에 나왔던 ‘Blackcat’도 열심히 활동을 했습니다.
그리고 피해 산업군을 보게 되면, 제조업권, 그리고 건설 쪽이 1, 2위를 차지하고 있고요. 그 다음에 (피해) 국가는 단연 ‘미국’이 67.9%로, 그 다음으로는 이제 영국, 캐나다, 독일, 이탈리아 순인데, 1위와 격차가 큰 2~5위입니다.
□ 권준 국장 한국 기업들은 피해 사례가 좀 있을까요?
■ 곽경주 이사 한국 기업들은 다크웹을 기반으로 한 랜섬웨어로 피해를 입은 것들은 공개적으로 이렇게 드러나지 않고 있고요. 그 외에 ‘귀신’ 랜섬웨어나 이런 것들에 대한 피해는 한 3~4월 이후로는 아직 들리지는 않고 있어요. 그런데 이제 중소 규모의 다른 랜섬웨어들, 그런 랜섬웨어들한테 당했다라는 소식들은 간간히 들리고 있어요.
□ 권준 국장 결국은 가장 돈이 많은 미국을 타깃으로 하는 랜섬웨어 조직이 가장 많다는 얘기가 될 것 같고요.
□ 권준 국장 아무래도 이제 7~8월 여름휴가잖아요, 이렇게 사이버 상황이 혼란스러운데요. 보안담당자들도 그렇고 일반 직원들도 그렇고 참 휴가 가기 부담스럽고, 특히 보안 담당자들이 부담스러울 것 같은데요. 회사나 집을 비울 때, 마지막으로 우리 이사님께서 조금 보안담당자하고 아마 일반 직원은 조금 다를 것 같거든요? 이런 것만은 보안 측면에서 좀 신경을 써야 되겠다 그런 것을 꼽아주신다면요?
■ 곽경주 이사 사실 보안 담당자 입장에서는 휴가 중에 사실 사고 안나길 기도해야죠, 네 사고 안나길 기도해야 하는 것이고. 아무리 만반의 준비를 거치고 뭐, 서버 다 끄고 갈 수는 없잖아요? 저희 휴가가 있는 동안 아무도 일하지 마세요~ 서버 다 끄고 그룹웨어 다 끄고 할 수는 없으니까 일단 첫 번째로 물 떠놓고 기도하셔라. (웃음) 사고 안나길 기도하셔야 되고, 인수인계 자체는 잘하고 가셔야겠죠, 업무 자체에 대해서 다른 사람들이 이제 메꿔줄 수 있는 그런 것들을 체계를 좀 만들어 나가야 되고 사실 대체자가 없는 회사의 보안 담당자가 제일 어렵죠.
□ 권준 국장 문제죠.
■ 곽경주 이사 네, 휴가 가기도 어렵죠. 그런 분들은. 그래서 그런 분들은 휴가지에서도... 휴가를 꼭 가셔야 된다 그러시면 가서 이제 연락 좀 잘 받으시고 원격으로 대응할 수 있는 만들어서 나가셔야 될 것 같고요. 네, 그리고 일반 가정집에 계신 분들은 그냥 컴퓨터 잘 끄고 다니셔야죠. (웃음)
□ 권준 국장 (웃음) 알겠습니다. 결국은 회사 직원들도 일단은 컴퓨터는 반드시 좀 꺼놓고, 또 원격으로 이제 업무 하시는 분들도 사실 많은데, 그런 부분에 있어서도 계정 관리라든가, 특히 아까 잠깐 말씀해주셨지만, 브라우저에 어떤 계정을 저장해놓는 것은 가급적 지양하는 것이 제일 중요할 것이라는 생각이 좀 들고요. 하여튼 보안담당자들 여름에도 사실 마음 편히 휴가 못 갔다 오시는데, 정말 저희 방송이 도움이 되셨으면 좋겠고요. 틈틈히 휴식을 취하실 수 있으면 좋겠습니다.
□ 권준 국장 오늘 워낙 이슈가 많았네요. 저희가 또 구독자들도 만 명을 앞두고 있는 상황에서 저희가 이제 라이브를 좀 진행을 해봤는데요. 정말 중요한 소식들 또 많이 말씀해주셔서 감사드리고, 다음에도 좋은 말씀 또 부탁드리겠습니다. 휴가 잘 다녀오시고요.
■ 곽경주 이사 아, 네 알겠습니다. 휴가 잘 다녀오십시오.
□ 권준 국장 이만 마치겠습니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
