작년은 랜섬웨어가 2배로 증가한 시기였다. 그 와중에 일부 메이저 단체들은 카르텔을 선포하기도 했다. 그러나 ‘다행히도’ 무늬만 카르텔이지 실상은 아니었던 것으로 보인다. 카르텔이 만들어졌다면, 지금 우리는 전혀 다른 차원의 랜섬웨어를 경험하고 있을지도 모른다.
[보안뉴스 문가용 기자] 랜섬웨어 그룹들이 카르텔을 형성해 활동하고 있다. 여기에 참여한 그룹은 트위스티드 스파이더(Twisted Spider), 바이킹 스파이더(Viking Spider), 위자드 스파이더(Wizard Spider), 록빗 갱(Lockbit Gang)이다. 이들은 지난 해 여름부터 함께 활동함을 발표했었다. 이중 트위스티드 스파이더는 메이즈(Maze)라는 이름으로 더 잘 알려져 있다. 메이즈는 지난 해 11월 활동 중단을 선언하면서 카르텔 같은 건 한 번도 존재한 적이 없었다고 주장했다.
[이미지 = pixabay]
하지만 애널리스트원(Analyist1)이 최근 발표한 보고서에 의하면 어느 정도의 협력 관계를 유추할 만한 정황이 발견된 바 있다고 한다. 위 공격자들끼리는 공격에 필요한 정보를 나눴으며, 훔친 정보를 유출시키는 웹사이트도 공유했고, 기술력도 어느 정도는 서로에게 가르치고 배웠다는 것이 애널리스트원의 설명이다. 그러나 공격을 합동으로 진행했다거나, 수익을 나눈 흔적은 아직 발견하지 못했다고 한다. “카르텔은 공격을 같이 하고 수익도 같이 나눈다는 특성을 가지고 있습니다. 그런 의미에서 이들 조직들이 카르텔을 형성했다고 보기는 힘듭니다.”
애널리스트원은 지난 한 해 동안 랜섬웨어 공격자들을 조사했다. 2020년 동안 랜섬웨어 공격이 2배 이상 증가했기 때문이다. “그런데 몇몇 랜섬웨어 공격자들이 카르텔을 맺었다고 선포하기 시작했어요. 2020년 5월에는 트위스티드 스파이더가 록빗 갱과 힘을 합쳤다고 발표했습니다. 당시 두 단체는 경험과 데이터 유출 플랫폼을 공유한다고 밝혔습니다.” 이들을 계속해서 지켜보니 공격 인프라와 유출 사이트를 실제 나눠 쓴다는 걸 알 수 있기도 했다. 하지만 그것 뿐이었다.
“사실 이들이 말한 것처럼 ‘카르텔’이 되려면 협력 프로젝트 이상의 관계가 필요합니다. 자원 좀 나눠 쓰고, 공격 도구 좀 같이 사용한다고 해서 카르텔이 되는 건 아니거든요. 사업적으로 합쳐져서 수익을 나누는 데까지 가야 비로소 카르텔이라고 할 수 있습니다. 지금은 그냥 동맹 같은 것에 불과합니다.” 카르텔이 구축된다는 건 꽤나 위험한 일이라고 애널리스트원은 설명한다. “여러 조직의 자본이 합쳐지는 것이기 때문에 공격 단체는 순식간에 어마어마한 배경을 갖추게 되며, 이로써 공격이 훨씬 더 거세질 수 있습니다.”
재미있는 건 카르텔을 선언한 단체들이 매체들에도 접근했다는 것이다. “이들은 각종 매체 기자들에게도 연락을 취했습니다. 자신들의 카르텔이 출범했다는 걸 알리기 위해서죠. 메이즈 랜섬웨어 공격자들이 자주 보여주던 모습 중 하나는, 피해자가 돈을 내지 않기로 결정했을 때 언론에 해당 기업을 비판하는 자료를 뿌린 것입니다. 바이킹 스파이더는 페이스북에 피해자를 조롱하는 광고를 올리기도 했고요. 카르텔이라는 단어를 사용함으로써 이목을 자기들에게 끌려는 시도로 보입니다.”
왜 이들은 언론의 주목을 끌려고 했을까? 애널리스트원은 그 이유에 대해 아직 명확히 밝히고 있지는 못하다. 단순히 카르텔을 가볍게 정의하고 있었을 수도 있고, 자신들의 이름값을 높임으로써 피해자들에게 더한 압박을 주려 했던 것일 수도 있다. 그렇다면 왜 메이즈는 카르텔이 애초부터 없었다고 갑자기 주장한 걸까? 애널리스트원은 “수사 기관의 추적을 따돌리기 위해서”일 가능성이 높다고 보고 있다. “덩치가 커진 만큼 추적도 쉬워졌죠. 그래서 공격자들로서도 압박이 심했을 겁니다.”
결국 작년의 ‘카르텔’ 형성은 일종의 해프닝으로 결론이 나도 무방한 상황이다. 카르텔이 조직됨으로써 더 무서워진 것도 아니고, 오히려 사법기관에 뒷덜미를 잡힐까봐 공격자들 스스로가 자신들의 행보를 번복하고 있으니까 말이다. 다만 공격자들이 “서로 연대함으로써 새로운 힘을 발휘할 수 있다”는 것을 이 과정 중에 학습한다면 훗날 꽤나 큰 위협으로 변모할 수 있다고 애널리스트원은 경고한다. “카르텔이 되어 거대한 자본을 손에 쥐게 된다면, 이들은 각종 자동화 기술을 도입하거나 멀웨어 업데이트를 조직적으로 할 수 있게 됨으로써 훨씬 더 까다로운 존재가 될 것입니다.”
실제 록빗 갱의 경우 상당히 많은 자원을 ‘공격 자동화 기술’에 쏟아 붓는 것으로 알려져 있다. “현재 록빗의 자동화 기술을 활용하면 시스템 감염, 침해, 멀웨어 배포 및 랜섬웨어 발동을 전부 순차적으로 진행하는 데에 2시간도 걸리지 않습니다. 공격의 효율이 매우 높아지는 것이죠. 지금 당장은 카르텔이 수면 위로 드러나지 않았지만, 실제 카르텔이 등장한다면 랜섬웨어는 한층 더 위험한 요소가 될 것입니다.”
3줄 요약
1. 일부 랜섬웨어 운영자들, 작년에 힘 합치며 카르텔 선포.
2. 하지만 자본이나 수익을 공유하는 단계로까지 진행되지는 않았음.
3. 카르텔이 정말로 형성된다면, 막대한 자본을 바탕으로 더 무서운 공격으로 변모할 것.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 랜섬웨어 그룹들이 카르텔을 형성해 활동하고 있다. 여기에 참여한 그룹은 트위스티드 스파이더(Twisted Spider), 바이킹 스파이더(Viking Spider), 위자드 스파이더(Wizard Spider), 록빗 갱(Lockbit Gang)이다. 이들은 지난 해 여름부터 함께 활동함을 발표했었다. 이중 트위스티드 스파이더는 메이즈(Maze)라는 이름으로 더 잘 알려져 있다. 메이즈는 지난 해 11월 활동 중단을 선언하면서 카르텔 같은 건 한 번도 존재한 적이 없었다고 주장했다.
[이미지 = pixabay]
하지만 애널리스트원(Analyist1)이 최근 발표한 보고서에 의하면 어느 정도의 협력 관계를 유추할 만한 정황이 발견된 바 있다고 한다. 위 공격자들끼리는 공격에 필요한 정보를 나눴으며, 훔친 정보를 유출시키는 웹사이트도 공유했고, 기술력도 어느 정도는 서로에게 가르치고 배웠다는 것이 애널리스트원의 설명이다. 그러나 공격을 합동으로 진행했다거나, 수익을 나눈 흔적은 아직 발견하지 못했다고 한다. “카르텔은 공격을 같이 하고 수익도 같이 나눈다는 특성을 가지고 있습니다. 그런 의미에서 이들 조직들이 카르텔을 형성했다고 보기는 힘듭니다.”
애널리스트원은 지난 한 해 동안 랜섬웨어 공격자들을 조사했다. 2020년 동안 랜섬웨어 공격이 2배 이상 증가했기 때문이다. “그런데 몇몇 랜섬웨어 공격자들이 카르텔을 맺었다고 선포하기 시작했어요. 2020년 5월에는 트위스티드 스파이더가 록빗 갱과 힘을 합쳤다고 발표했습니다. 당시 두 단체는 경험과 데이터 유출 플랫폼을 공유한다고 밝혔습니다.” 이들을 계속해서 지켜보니 공격 인프라와 유출 사이트를 실제 나눠 쓴다는 걸 알 수 있기도 했다. 하지만 그것 뿐이었다.
“사실 이들이 말한 것처럼 ‘카르텔’이 되려면 협력 프로젝트 이상의 관계가 필요합니다. 자원 좀 나눠 쓰고, 공격 도구 좀 같이 사용한다고 해서 카르텔이 되는 건 아니거든요. 사업적으로 합쳐져서 수익을 나누는 데까지 가야 비로소 카르텔이라고 할 수 있습니다. 지금은 그냥 동맹 같은 것에 불과합니다.” 카르텔이 구축된다는 건 꽤나 위험한 일이라고 애널리스트원은 설명한다. “여러 조직의 자본이 합쳐지는 것이기 때문에 공격 단체는 순식간에 어마어마한 배경을 갖추게 되며, 이로써 공격이 훨씬 더 거세질 수 있습니다.”
재미있는 건 카르텔을 선언한 단체들이 매체들에도 접근했다는 것이다. “이들은 각종 매체 기자들에게도 연락을 취했습니다. 자신들의 카르텔이 출범했다는 걸 알리기 위해서죠. 메이즈 랜섬웨어 공격자들이 자주 보여주던 모습 중 하나는, 피해자가 돈을 내지 않기로 결정했을 때 언론에 해당 기업을 비판하는 자료를 뿌린 것입니다. 바이킹 스파이더는 페이스북에 피해자를 조롱하는 광고를 올리기도 했고요. 카르텔이라는 단어를 사용함으로써 이목을 자기들에게 끌려는 시도로 보입니다.”
왜 이들은 언론의 주목을 끌려고 했을까? 애널리스트원은 그 이유에 대해 아직 명확히 밝히고 있지는 못하다. 단순히 카르텔을 가볍게 정의하고 있었을 수도 있고, 자신들의 이름값을 높임으로써 피해자들에게 더한 압박을 주려 했던 것일 수도 있다. 그렇다면 왜 메이즈는 카르텔이 애초부터 없었다고 갑자기 주장한 걸까? 애널리스트원은 “수사 기관의 추적을 따돌리기 위해서”일 가능성이 높다고 보고 있다. “덩치가 커진 만큼 추적도 쉬워졌죠. 그래서 공격자들로서도 압박이 심했을 겁니다.”
결국 작년의 ‘카르텔’ 형성은 일종의 해프닝으로 결론이 나도 무방한 상황이다. 카르텔이 조직됨으로써 더 무서워진 것도 아니고, 오히려 사법기관에 뒷덜미를 잡힐까봐 공격자들 스스로가 자신들의 행보를 번복하고 있으니까 말이다. 다만 공격자들이 “서로 연대함으로써 새로운 힘을 발휘할 수 있다”는 것을 이 과정 중에 학습한다면 훗날 꽤나 큰 위협으로 변모할 수 있다고 애널리스트원은 경고한다. “카르텔이 되어 거대한 자본을 손에 쥐게 된다면, 이들은 각종 자동화 기술을 도입하거나 멀웨어 업데이트를 조직적으로 할 수 있게 됨으로써 훨씬 더 까다로운 존재가 될 것입니다.”
실제 록빗 갱의 경우 상당히 많은 자원을 ‘공격 자동화 기술’에 쏟아 붓는 것으로 알려져 있다. “현재 록빗의 자동화 기술을 활용하면 시스템 감염, 침해, 멀웨어 배포 및 랜섬웨어 발동을 전부 순차적으로 진행하는 데에 2시간도 걸리지 않습니다. 공격의 효율이 매우 높아지는 것이죠. 지금 당장은 카르텔이 수면 위로 드러나지 않았지만, 실제 카르텔이 등장한다면 랜섬웨어는 한층 더 위험한 요소가 될 것입니다.”
3줄 요약
1. 일부 랜섬웨어 운영자들, 작년에 힘 합치며 카르텔 선포.
2. 하지만 자본이나 수익을 공유하는 단계로까지 진행되지는 않았음.
3. 카르텔이 정말로 형성된다면, 막대한 자본을 바탕으로 더 무서운 공격으로 변모할 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
