[보안뉴스 문가용 기자] 자꾸만 이름을 바꿔대는 특이한 사이버 공격 단체가 다시 나타났다. 이번에는 스스로를 팬시 라자루스(Fancy Lazarus)라고 부르며 ‘랜섬디도스’ 공격을 하기 시작했다. 팬시 라자루스는 러시아의 APT인 팬시 베어(Fancy Bear)와 북한의 APT인 라자루스(Lazarus)에서 따온 이름이다. 이들은 처음 발견된 2020년 8월부터 팬시 베어, 라자루스, 아르마다 컬렉티브(Armada Collective) 등으로 스스로를 불러왔다. 이름의 원래 주인들과는 아무런 관련이 없으면서 말이다.
[이미지 = utoimage]
보안 업체 프루프포인트(Proofpoint)의 수석 위협 분석가인 셰럿 드그리포(Sherrod DeGrippo)는 “유명한 단체들의 이름을 도용하는 건 아마도 소셜 엔지니어링 공격을 할 때 자신들의 접근에 신뢰도를 더하기 위해서인 것으로 보인다”고 말하며 “실제 이들은 ‘우리가 과거에 어떠한 짓을 했는지 찾아보라’고 안내하기도 한다”고 근거를 댄다. 랜섬디도스라는 공격의 유형을 생각했을 때, 꽤나 잘 어울리는 전략으로도 볼 수 있다.
“랜섬디도스 공격은 일종의 ‘데모’를 선보이는 것으로 협박이 시작됩니다. 단일 IP 주소에 공격을 맛보기로 실시한 후 피해자에게 연락을 하지요. 이런 현상이 회사 전체에 나타날 거라고 말이죠. 그러니 악명 높은 유명 공격 단체의 이름을 도용하는 게 도움이 되겠죠.”
실제로 팬시 라자루스는 최근에 이런 식으로 한 기업을 협박했다. 맛보기 공격을 실시한 후 7일 안에 돈을 내지 않으면 대규모 공격을 하겠다고 한 것이다. 당시 이들이 예고한 공격량은 최소 2 Tbps였다. “이 정도 용량이면 사실 그 어떤 웹사이트나 서비스에도 접속할 수 없게 되죠. 사업이 중단된다는 겁니다. 단순히 시간만 버리는 게 아니라 소비자 신뢰도 크게 하락하는 게 사실입니다.” 이 자들의 협박 이메일은 Whois에 등록된 대표 주소나 홍보실 등 조직의 가장 대표적인 공개 연락처로 오는 경우가 대부분이라고 한다.
이들은 얼마 전부터 공격 대상을 크게 늘렸다. 에너지, 금융, 보험, 제조, 유틸리티, 도소매 등 가리지 않고 이러한 일들이 발생하는 중이다. 아직까지는 미국의 기업들 사이에서 가장 많은 공격이 발생하고 있지만 다른 나라들이라고 무사한 건 아니라고 한다. 특히 국적 불문 유명한 기업들에서는 이 공격자들의 공격 시도가 계속해서 이어지는 중이다.
이전에 비해 이번 공격은 여러 가지 면에서 달라졌다. 먼저는 팬시 라자루스라고 이름이 바뀌었고, 피해자들에게 요구하는 금액은 2 비트코인 정도 낮아졌다. “요즘 사이버 공격자들은 비트코인의 시세와 가격 변동에 매우 민감합니다. 그리고 환율이 가장 적절하다 싶을 때 공격을 실시하죠. 한 번 공격으로 더 많은 돈을 가져가기 위함입니다. 이더리움과 모네로 등의 코인도 인기가 많지만 아직 공격자들은 비트코인을 제일 선호합니다.”
드그리포는 “바야흐로 대 협박의 시대”라고 말한다. “랜섬웨어라는 협박성 공격이 크게 유행하고 있는 가운데, 랜섬디도스라는 공격도 이렇게 등장하고 있지요. 공격을 두세 가지 해놓고 협박하는 게 랜섬웨어라면, 공격을 예고하면서 협박하는 게 랜섬디도스입니다. 협박의 가짓수도 늘어나고 있지요. 앞으로 또 뭐가 등장할지 모르겠습니다.”
최근 사이버 공격자들은 다양한 방법으로 디도스 공격을 실시하기 시작했다. “다른 사이버 공격에 비해 디도스 공격은 난이도가 낮은 편이고, 따라서 할 일도 많이 없죠. 그럼에도 사업을 마비시킨다는 점에서 랜섬웨어와 비슷한 효과를 가집니다. 오래된 유형의 공격이긴 하지만 꾸준히 연구되고 새로운 기술이 개발되는 이유가 있습니다.”
하지만 디도스 공격은 랜섬웨어 공격보다 방어가 쉬운 편이기도 하다. 따라서 조직들은 디도스 방어 전문 업체나 도구의 도움을 받아 항시 대비해야 할 필요가 있다고 드그리포는 강조했다.
3줄 요약
1. 유명 공격자 사칭하는 그룹, 팬시 라자루스 랜섬디도스 들고 등장.
2. 유명한 이름으로 피해자들 압박하고, 디도스 일부 실시해 공격 맛보이고.
3. 랜섬웨어는 사후 협박, 랜섬디도스는 사전 협박.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>