러시아 vs. 우크라이나 전쟁, 사이버상은 이미 세계 대전... 양쪽으로 나뉘어 사이버전
다크웹 해킹 포럼 ‘레이드포럼’ 셧다운의 진실은? 수사기관의 함정수사 가능성 제기
글로벌 기업 연쇄 공격으로 화제가 된 해커조직 ‘랩서스’, 그들의 실체를 밝힌다
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 6화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.
■ 곽경주 이사 안녕하세요 곽경주입니다.
□ 권준 국장 바야흐로 이제 봄이 왔네요. 근데 아직까지 이제 어두운 겨울 같은 다크웹을 연구하시는 곽경주 이사님 참 많이 힘드실텐데(웃음). 그래도 이사님 같은 분이 계시니까 저희가 봄을 또 만끽할 수 있을 것 같습니다. 요즘에도 많이 바쁘실텐데 어떤 사안들로 많이 바쁘신가요?
□ 곽경주 이사 어... 우선 코로나19 격리 때문에 바빴고요(웃음). 가족들 케어하느라 바빴고요. 그 외에는 이제 최근에 또 유출사고들이라든가, ‘랩서스’라고 하는 공격그룹이 국내외 대기업들을 공격하면서 그 이슈 팔로업 하느라 좀 바빴었습니다.
▲bmTV [곽경주의 다크웹 인사이드] 6화 시작 화면[자료=보안뉴스]
[러시아 vs. 우크라이나 전쟁, 사이버상은 이미 세계 대전!]
□ 권준 국장 특히, 러시아하고 우크라이나 같은 경우에 지금 전쟁이 일어나면서 다크웹 상황도 많이 변화가 있는 것 같아요. 우크라이나 편과 러시아 편으로 (나뉘어) 사이버 전쟁을 벌이기도 하고 다크웹 조직 중에서도 편을 나눠서 싸우기도 하는 것 같은데요. 전쟁이 (일어난) 이후에 다크웹 상황은 어떻게 변화하고 있을까요?
□ 곽경주 이사 다크웹에서 우크라이나, 러시아 쪽 공격에 대한 관심들은 굉장히 많은 상황이고 전반적으로 사이버전 양상들을 보시게 되면은 주변국으로 확대되고 있는 모양새에요. 공격을 하는 국가, 피해를 당하는 국가 이 모든 것이 확장되고 있는 형세인데, 그게 뭐냐면은 최근에 우크라이나 쪽에 ‘CERT’가 있습니다. 침해사고 대응하는 쪽이 있는데, 거기서 발표한 내용을 보면 러시아에서 우크라이나만 공격을 하는 것이 아니라 (우크라이나) 국민들의 탈출을 도와주는 유럽 주변 국가들까지 공격을 하고 있다고 발표를 했어요. 그리고 최근에 보게 되면 중국도 우크라이나를 공격 하는 것에 가세를 한 것으로 보이거든요.
□ 권준 국장 아, 그래요? 중국 조직이?
□ 곽경주 이사 지금 우크라이나를 공격하고 있는 공격 그룹들이 현재 6~7개 정도가 됩니다. 러시아 베이스에 있는 공격 그룹, 벨라루스에 있는 공격 그룹, 그리고 중국에 있는 공격 그룹 등 국가 배후급의 많은 공격 그룹들이 지금 우크라이나, 유럽 쪽을 공격하고 있는 상황이고요.
그리고 최근에 보면 또 우크라이나 CERT에서 경고를 한 것이 ┖피싱 캠페인┖ 대규모의 피싱 공격이 일어나고 있다는 건데요. 피싱공격 자체는 보통 계정 탈취라든가 데이터를 탈취하기 위해서 하는 공격인 것인데, 그런 것들이 대규모로 일어나고 있으니까 조심해라 이런 것들이 있는 것이고요. 그리고 랜섬웨어 같은 스타일에 ‘와이퍼’라는 악성코드가 있습니다. 이 와이퍼가 최초에는 1~2종 정도가 발견됐었고, 그 이후에 이것을 또 하겠느냐 라는 의견들이 있었는데 계속하고 있습니다.
새로운 변종들을 만들어서 공격을 계속 시도하고 있고, 최근에는 또 우크라이나의 가장 큰 통신사가 공격을 당하기도 했었고, 공격 수법 자체가 들어가서 ‘와이퍼’를 통해서 데이터를 파괴시키는 공격도 있는 반면에 ‘디도스’라고 해서 대규모의 통신량을 발생시켜 서버를 마비시키고 서비스가 안 되게 만드는 그런 것도 있습니다.
여기에 우크라이나가 가만히 있느냐? 아닙니다. 우크라이나도 텔레그램 채널을 만들었어요. ‘IT ARMY of Ukraine’이라고 해서 여러 국가의 공격자들 그 다음에 보안을 하는 사람들 모여가지고 같이 러시아를 공격하는 움직임도 있습니다.
최근에 조금 흥미로운 것은 ‘안티 푸틴 디도스’라는 ‘깃허브’ 저장소를 만들었어요. 그래서 러시아에다가 디도스 공격을 하자고 하면 그것을 텔레그램 채널에 있는 사람들한테 공지를 한 다음에 다 같이 공격을 하려고 준비를 하고 있는 정황들이 있습니다.
□ 권준 국장 러시아와 우크라이나 전쟁이 세계대전으로 가면 안 된다라는 얘기가 나오고 있는데 사이버상에서는 완전히 세계대전이 벌어지고 있는 것이나 마찬가지네요.
□ 곽경주 이사 네, 이미 세계 대전입니다.
[다크웹 해킹 포럼 ‘레이드포럼’ 다운!?]
□ 권준 국장 지금 다크웹에서도 여러 가지 해킹 포럼들이 조금 더 변화가 있는 것 같아요. 특히 우리나라한테 많이 알려 ‘레이드포럼’이라는 해킹 포럼이 있었는데 잠깐 이게 폐쇄됐다는 얘기도 있고, 그러다가 다시 또 재개장 했다는 얘기도 있더라고요. 어떻게 된 것인지 한 번 설명을 해주시겠어요?
□ 곽경주 이사 우선 포럼이라고 하면은 해커들이 서로 모여가지고 서로 정보를 공유하는 곳이에요. 순수하게 기술적인 정보만 공유하는 공간은 전혀 아니고 해킹 기법, 또는 어떤 데이터베이스를 해킹했다라고 하면서 그 데이터 자체를 무료로 올리기도 하고, 팔기도 하고, 경매를 하기도 하고 그런 공간인 것인데요.
레이드포럼은 가장 활발한 공간인 것이죠. 레이드포럼 외에도 ‘엑스에스에스’라느니 ‘익스플로잇인’이라느니 많은 포럼이 있지만, 사용성이 레이드포럼이 좋고 그리고 뭔가 새로운 글이 올라왔다라는 것을 인지하기도 좋고 작성자가 글을 잘못 썼을 때 삭제를 해준다거나 이런 것들도 잘 되어 있고요.
여기(레이드포럼)가 2월 말쯤에 갑자기 잘 안 들어가집니다. 다크웹이나 딥웹 쪽은 워낙 호스팅 서버들이 불안정한 그런 것들이 있어요 그래서 이번에도 불안정한가보구나라고 (생각)했는데, 이게 조금 장기화가 되니까 미국에서 테이크다운 시켰나? 생각을 하고 있었는데요
레이드포럼도 텔레그램 채널을 운영해요 거기의 레이드포럼 관리자가 ‘도메인이 시즈(seize)됐다라는’ 얘기를 합니다. 그게 뭐냐면은 도메인을 압수당했다는 얘기에요. 그것을 압수할 수 있는 곳은 수사기관밖에 없습니다. 인터폴이든 유로폴이든 FBI든 이런 곳에서 도메인을 압수했다라는 것이고, 그래서 거기에 로그인을 하지 말라는 공지가 뜹니다.
로그인을 하지 말라는 이유는 저희 같은 사람들(일반인)이야 상관없는데 범죄자들이 거기에 로그인을 했다가 범죄자들의 아이디와 패스워드가 수사기관한테 넘어가는 거예요. 그럼 이제 수사에 활용하는 겁니다. 이것을 조금 더 세밀하게 작업을 했다면 실제로 수사기관이 원하는 효과가 나올 수도 있었을텐데 약간 아쉬운 면은 있고요.
□ 권준 국장 그러면 (레이드포럼) 내부적으로 수사나 이런 것들에 따라서 서로 갈등이 있었던 것인가요?
■ 곽경주 이사 그런 것은 아닌 것으로 보입니다.
□ 권준 국장 말씀하신 것처럼 수사기관들도 오히려 해커들을 해킹하려고 했던 것이네요, 결국은?
■ 곽경주 이사 그런 느낌도 있습니다. 그러나 확실하지는 않습니다(웃음).
□ 권준 국장 이른바 ‘함정수사’라고도 할 수 있겠는데요.
■ 곽경주 이사 보통 도메인을 압수를 하면 거기(홈페이지)다가 대문짝만하게 이미지를 띄우거든요. 어떤 이미지냐면 ‘유로폴이 이 도메인을 압수했다라’고 띄워버리는데 이번에는 그게 없었어요. 로그인 창이 있었고 로그인을 하면은 아무 반응이 없거든요. 그것은 약간 피싱 느낌이 난다고 할까요?
[화제의 해커조직 ‘랩서스’]
□ 권준 국장 아무래도 요즘에 가장 뜨거운 이슈는 ‘랩서스’조직이었던 것 같아요. 삼성전자 LG전자 그 다음에 MS, 옥타, 엔비디아 이런 정말 유명한 글로벌 기업들의 자료가 일부 유출되고 그런 곳들을 해킹했다고 주장하는 이 조직이 도대체 어떤 조직이고 지금 어떻게 활동하고 있는지 궁금한 건데요. 또 일부에서는 조직원이 잡혔다라는 이야기도 있는데요. 명쾌하게 정리를 한 번 해주시면 큰 도움이 될 것 같습니다.
■ 곽경주 이사 우선 이 그룹의 히스토리부터 좀 알아보면은 처음에 랩서스라는 이름을 쓰지는 않았어요. 다른 이름으로 활동을 하고 있었고요. 이제 딥웹 포럼, 다크웹 포럼 이런 곳에서 활동을 하고 있었던 것이죠. 레이드포럼을 포함해서 다양한 포럼에서 활동을 하고 있었는데요.
(작년) 12월인가 올해 1월쯤 들어 자기네 이름을 그때부터 바꾼 것으로 알고 있고 최초에는 EA라고 하는 게임회사, 그곳을 해킹해서 데이터를 탈취했다라고 작년 7월에 포럼에 올렸었고 그러고 나서는 브라질 보건부를 해킹했다는 것으로 많이 알려졌었죠. 작년 12월이었고요.
근데 재밌는 점은 이 친구들이 허풍을 치는 친구들은 아닌 것 같다라는 것이죠. 굵직굵직한 사건들을 계속 일으키고 있는데, 그런 것들이 실제로 해킹을 했던 것으로 결과가 나오고 있고요.
그리고 최근에 6명이 잡혔다, 이렇게 (보도가) 나오는데 이게 처음에는 어떻게 시작된 것이냐면 올해 1월 쯤에 ‘독스빈’이라고 하는 거기에 ‘wh1te’라고 하는 랩서스 일원의 신상정보가 올라옵니다. 그런 것이 올라온 이유는 랩서스 그룹 내에 불화가 있었던 것 같아요. 악의적인 의도였겠죠. 자기네들끼리... 그래서 wh1te라는 사람은 결국 청소년입니다. 16살짜리 청소년인 것으로 나오고 영국에 살고 있어요. 1월에 이미 신상이 공개됐는데 그전까지는 수사기관들이 크게 안 움직이다가 이번에 우리나라 대기업 사건 터지고 마이크로소프트 해킹당하고 이러면서 수사기관들이 그냥 순식간에 여섯 명을 잡아들여요. 처음에는 반신반의했죠. 이 친구들이 과연 몸통일까 아니면 꼬리일까?
랩서스도 텔레그램 채널을 운영합니다. 두 개를 운영하는데 하나는 공지 채널이고 하나는 잡담 채널이에요. 그래서 저희가 공지 채널을 계속 보고 있었죠. 이게 몸통이 잡혔으면 거기에 공지가 안 올라올 것이기 때문이죠. 근데 그냥 보란 듯이 계속 활동을 하더라고요. 그러면서 자기네 코어 멤버들은 아무도 안 잡혔다고 그랬어요. 그런 것을 봤을 때 지금 영국에서 잡힌 그 여섯 명은 그냥 꼬리 쪽인 것 같아요. 그래서 앞으로도 계속 랩서스는 계속 활동을 할 것 같아요.
흥미로운 것이 뭐냐면 자기네들은 해킹을 할 때 파나마 법에 의거해서 공격을 하고 있다고 하고 있는데, 이게 무슨 의미이냐면 파나마는 사이버 범죄 수사 등에 대한 법 조항이 따로 없습니다. 그리고 또 랩서스가 뭐라고 했냐면은 파나마에는 ‘데이터 리텐션’ 조항이 없다고 했어요. 그게 뭐냐면 (파나마에서) 어떤 서버를 운영한다거나 어떤 VPN 서비스를 이용한다고 했을 때, 그 서비스를 이용한 사람들에 관련된 기록을 보존하지 않아도 된다는 거예요. 그러니까 파나마에서 운영되는 서비스 이런 것들 이용하는 것이고, 랩서스 서버 같은 것도 파나마에 있는 것을 이용할 것이고, 제 생각에는 그 친구들 중에 일부는 파나마에 있는 사람도 있지 않을까 그런 생각도 하게 되고요.
□ 권준 국장 개인적으로 궁금한 것인데 랜섬웨어 조직이 있다고 그러잖아요, 근데 이 친구들은 조직원들끼리 오프라인으로는 거의 안 만나는 것인가요?
■ 곽경주 이사 안 만나야 된다고 봅니다. 안 만날 것이라고 보고
□ 권준 국장 같은 조직이지만 오프라인으로 한 번도 본 적이 없을 거라는 말씀이시죠.
[최근 1개월 다크웹 피해국가 및 기업 통계]
□ 권준 국장 한 달 간에도 여러 가지 이슈들이 많아서 재밌는 얘기 많이 들었는데요. 그래도 그동안 피해 국가, 그 다음에 피해 기업 현황들에 대해 간단하게 정리해 주신다면요?
■ 곽경주 이사 일단 랜섬웨어 피해 통계는 거의 포지션이 변하지 않는 것 같아요. 미국이 이번 달에는 70%까지 올라갔고요. 피해 국가들 중에서 가장 많은 포지션을 차지하고 있고 피해 업종 같은 경우에는 제조업종이 제일 많고, 그 다음에 비즈니스 서비스, 컨슈머 서비스, 그리고 호스피탈리티 순으로 많았고요. 그리고 이런 랜섬웨어 말고 딥웹·다크웹 쪽에서 우리나라 관련돼서 올라온 건들이 몇 건 있어요. 국내 대기업 관련된 것도 하나 있었고요. 그곳의 개인정보 등의 데이터가 유출되는 사건들이 몇 건 있었고요.
그리고 저희가 최근에 가장 주의 깊게 봤던 이슈 중에 하나는 중국에 ‘치후360’이라는 보안업체가 있습니다. 그 업체에서 ‘APTC61’이라고 이름을 지은 그룹이 있는데 여기 (텔레그램) 채널에 우리나라 90곳이 넘는 회사의 사이트 목록과 SQL 인젝션 데이터베이스를 탈취할 수 있는 취약점이 있는 URL 같은 것들이 올라왔었거든요. 이런 식으로 텔레그램 기반의 중국 채널이나 중국 기반의 조직들이 눈에 띄는 것들을 많이 올리고 있어요.
□ 권준 국장 최근 다크웹 못지않게 텔레그램을 활용해서 공지를 하거나 이런 경우가 많아지는 것 같아요.
■ 곽경주 이사 그래서 요새 보면은 느낌이 다크웹도 다크웹인데, 텔레그램 채널이나디스코드로 많이 옮겨가고 있어. 그래서 (다크웹)과 마찬가지로 모니터링이 많이 되어야할 것 같습니다.
[기업 보안 담당자들을 위한 보안 팁]
□ 권준 국장 마지막으로 국내 대기업은 물론이고 각종 중소기업들 타깃으로 여러 (해커)조직들이 내부 네트워크에 침입하거나 데이터를 탈취하려는 공격이 되게 많아지고 있거든요. 그래서 기업 보안 담당자들을 대상으로 해서 이사님께서 주의를 해야 한다는 측면 몇 가지만 꼽아주신다면?
■ 곽경주 이사 우선 이번에 ‘랩서스’ 사건 같은 경우에는 이미 어느 정도 예견은 돼있었습니다. 이 공격조직이 이 방법을 안 쓸 이유가 없었거든요. 그 방법이 뭐냐면 이미 다크웹 상에 유출된 계정들 예를 들면 회사 내에서만 사용하는 이메일만 탈취하는 것이 아니라 네이버 메일이나 카카오 메일 이런 것들도 다 탈취를 하거든요. 이런 메일을 탈취해서 뭐에다가 쓰냐면 저희는 기업 내부망에 들어갈 때 2차 인증이라는 것을 하잖아요? 그 2차 인증 연동을 외부에 있는 사설 메일로 연동을 하는 경우도 있기 때문인데요. 특히, VDI나 VPN RDP라는 이런 계정들에 대한 주의는 꼭 필요한 것 같고요. 그리고 외주 직원에 대한 내부 데이터 관리도 중요합니다. 외주 직원들이 내부 데이터를 많이 갖고 있거든요. 그런 것들에 대해서도 관리가 철저하게 이뤄져야 되지 않나라는 생각이 듭니다.
□ 권준 국장 많은 얘기 해주셨는데요. 이번 시간은 이만 마치고 다음에 더 좋은 얘기 듣도록 하겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
다크웹 해킹 포럼 ‘레이드포럼’ 셧다운의 진실은? 수사기관의 함정수사 가능성 제기
글로벌 기업 연쇄 공격으로 화제가 된 해커조직 ‘랩서스’, 그들의 실체를 밝힌다
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 6화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.
■ 곽경주 이사 안녕하세요 곽경주입니다.
□ 권준 국장 바야흐로 이제 봄이 왔네요. 근데 아직까지 이제 어두운 겨울 같은 다크웹을 연구하시는 곽경주 이사님 참 많이 힘드실텐데(웃음). 그래도 이사님 같은 분이 계시니까 저희가 봄을 또 만끽할 수 있을 것 같습니다. 요즘에도 많이 바쁘실텐데 어떤 사안들로 많이 바쁘신가요?
□ 곽경주 이사 어... 우선 코로나19 격리 때문에 바빴고요(웃음). 가족들 케어하느라 바빴고요. 그 외에는 이제 최근에 또 유출사고들이라든가, ‘랩서스’라고 하는 공격그룹이 국내외 대기업들을 공격하면서 그 이슈 팔로업 하느라 좀 바빴었습니다.
▲bmTV [곽경주의 다크웹 인사이드] 6화 시작 화면[자료=보안뉴스]
[러시아 vs. 우크라이나 전쟁, 사이버상은 이미 세계 대전!]
□ 권준 국장 특히, 러시아하고 우크라이나 같은 경우에 지금 전쟁이 일어나면서 다크웹 상황도 많이 변화가 있는 것 같아요. 우크라이나 편과 러시아 편으로 (나뉘어) 사이버 전쟁을 벌이기도 하고 다크웹 조직 중에서도 편을 나눠서 싸우기도 하는 것 같은데요. 전쟁이 (일어난) 이후에 다크웹 상황은 어떻게 변화하고 있을까요?
□ 곽경주 이사 다크웹에서 우크라이나, 러시아 쪽 공격에 대한 관심들은 굉장히 많은 상황이고 전반적으로 사이버전 양상들을 보시게 되면은 주변국으로 확대되고 있는 모양새에요. 공격을 하는 국가, 피해를 당하는 국가 이 모든 것이 확장되고 있는 형세인데, 그게 뭐냐면은 최근에 우크라이나 쪽에 ‘CERT’가 있습니다. 침해사고 대응하는 쪽이 있는데, 거기서 발표한 내용을 보면 러시아에서 우크라이나만 공격을 하는 것이 아니라 (우크라이나) 국민들의 탈출을 도와주는 유럽 주변 국가들까지 공격을 하고 있다고 발표를 했어요. 그리고 최근에 보게 되면 중국도 우크라이나를 공격 하는 것에 가세를 한 것으로 보이거든요.
□ 권준 국장 아, 그래요? 중국 조직이?
□ 곽경주 이사 지금 우크라이나를 공격하고 있는 공격 그룹들이 현재 6~7개 정도가 됩니다. 러시아 베이스에 있는 공격 그룹, 벨라루스에 있는 공격 그룹, 그리고 중국에 있는 공격 그룹 등 국가 배후급의 많은 공격 그룹들이 지금 우크라이나, 유럽 쪽을 공격하고 있는 상황이고요.
그리고 최근에 보면 또 우크라이나 CERT에서 경고를 한 것이 ┖피싱 캠페인┖ 대규모의 피싱 공격이 일어나고 있다는 건데요. 피싱공격 자체는 보통 계정 탈취라든가 데이터를 탈취하기 위해서 하는 공격인 것인데, 그런 것들이 대규모로 일어나고 있으니까 조심해라 이런 것들이 있는 것이고요. 그리고 랜섬웨어 같은 스타일에 ‘와이퍼’라는 악성코드가 있습니다. 이 와이퍼가 최초에는 1~2종 정도가 발견됐었고, 그 이후에 이것을 또 하겠느냐 라는 의견들이 있었는데 계속하고 있습니다.
새로운 변종들을 만들어서 공격을 계속 시도하고 있고, 최근에는 또 우크라이나의 가장 큰 통신사가 공격을 당하기도 했었고, 공격 수법 자체가 들어가서 ‘와이퍼’를 통해서 데이터를 파괴시키는 공격도 있는 반면에 ‘디도스’라고 해서 대규모의 통신량을 발생시켜 서버를 마비시키고 서비스가 안 되게 만드는 그런 것도 있습니다.
여기에 우크라이나가 가만히 있느냐? 아닙니다. 우크라이나도 텔레그램 채널을 만들었어요. ‘IT ARMY of Ukraine’이라고 해서 여러 국가의 공격자들 그 다음에 보안을 하는 사람들 모여가지고 같이 러시아를 공격하는 움직임도 있습니다.
최근에 조금 흥미로운 것은 ‘안티 푸틴 디도스’라는 ‘깃허브’ 저장소를 만들었어요. 그래서 러시아에다가 디도스 공격을 하자고 하면 그것을 텔레그램 채널에 있는 사람들한테 공지를 한 다음에 다 같이 공격을 하려고 준비를 하고 있는 정황들이 있습니다.
□ 권준 국장 러시아와 우크라이나 전쟁이 세계대전으로 가면 안 된다라는 얘기가 나오고 있는데 사이버상에서는 완전히 세계대전이 벌어지고 있는 것이나 마찬가지네요.
□ 곽경주 이사 네, 이미 세계 대전입니다.
[다크웹 해킹 포럼 ‘레이드포럼’ 다운!?]
□ 권준 국장 지금 다크웹에서도 여러 가지 해킹 포럼들이 조금 더 변화가 있는 것 같아요. 특히 우리나라한테 많이 알려 ‘레이드포럼’이라는 해킹 포럼이 있었는데 잠깐 이게 폐쇄됐다는 얘기도 있고, 그러다가 다시 또 재개장 했다는 얘기도 있더라고요. 어떻게 된 것인지 한 번 설명을 해주시겠어요?
□ 곽경주 이사 우선 포럼이라고 하면은 해커들이 서로 모여가지고 서로 정보를 공유하는 곳이에요. 순수하게 기술적인 정보만 공유하는 공간은 전혀 아니고 해킹 기법, 또는 어떤 데이터베이스를 해킹했다라고 하면서 그 데이터 자체를 무료로 올리기도 하고, 팔기도 하고, 경매를 하기도 하고 그런 공간인 것인데요.
레이드포럼은 가장 활발한 공간인 것이죠. 레이드포럼 외에도 ‘엑스에스에스’라느니 ‘익스플로잇인’이라느니 많은 포럼이 있지만, 사용성이 레이드포럼이 좋고 그리고 뭔가 새로운 글이 올라왔다라는 것을 인지하기도 좋고 작성자가 글을 잘못 썼을 때 삭제를 해준다거나 이런 것들도 잘 되어 있고요.
여기(레이드포럼)가 2월 말쯤에 갑자기 잘 안 들어가집니다. 다크웹이나 딥웹 쪽은 워낙 호스팅 서버들이 불안정한 그런 것들이 있어요 그래서 이번에도 불안정한가보구나라고 (생각)했는데, 이게 조금 장기화가 되니까 미국에서 테이크다운 시켰나? 생각을 하고 있었는데요
레이드포럼도 텔레그램 채널을 운영해요 거기의 레이드포럼 관리자가 ‘도메인이 시즈(seize)됐다라는’ 얘기를 합니다. 그게 뭐냐면은 도메인을 압수당했다는 얘기에요. 그것을 압수할 수 있는 곳은 수사기관밖에 없습니다. 인터폴이든 유로폴이든 FBI든 이런 곳에서 도메인을 압수했다라는 것이고, 그래서 거기에 로그인을 하지 말라는 공지가 뜹니다.
로그인을 하지 말라는 이유는 저희 같은 사람들(일반인)이야 상관없는데 범죄자들이 거기에 로그인을 했다가 범죄자들의 아이디와 패스워드가 수사기관한테 넘어가는 거예요. 그럼 이제 수사에 활용하는 겁니다. 이것을 조금 더 세밀하게 작업을 했다면 실제로 수사기관이 원하는 효과가 나올 수도 있었을텐데 약간 아쉬운 면은 있고요.
□ 권준 국장 그러면 (레이드포럼) 내부적으로 수사나 이런 것들에 따라서 서로 갈등이 있었던 것인가요?
■ 곽경주 이사 그런 것은 아닌 것으로 보입니다.
□ 권준 국장 말씀하신 것처럼 수사기관들도 오히려 해커들을 해킹하려고 했던 것이네요, 결국은?
■ 곽경주 이사 그런 느낌도 있습니다. 그러나 확실하지는 않습니다(웃음).
□ 권준 국장 이른바 ‘함정수사’라고도 할 수 있겠는데요.
■ 곽경주 이사 보통 도메인을 압수를 하면 거기(홈페이지)다가 대문짝만하게 이미지를 띄우거든요. 어떤 이미지냐면 ‘유로폴이 이 도메인을 압수했다라’고 띄워버리는데 이번에는 그게 없었어요. 로그인 창이 있었고 로그인을 하면은 아무 반응이 없거든요. 그것은 약간 피싱 느낌이 난다고 할까요?
[화제의 해커조직 ‘랩서스’]
□ 권준 국장 아무래도 요즘에 가장 뜨거운 이슈는 ‘랩서스’조직이었던 것 같아요. 삼성전자 LG전자 그 다음에 MS, 옥타, 엔비디아 이런 정말 유명한 글로벌 기업들의 자료가 일부 유출되고 그런 곳들을 해킹했다고 주장하는 이 조직이 도대체 어떤 조직이고 지금 어떻게 활동하고 있는지 궁금한 건데요. 또 일부에서는 조직원이 잡혔다라는 이야기도 있는데요. 명쾌하게 정리를 한 번 해주시면 큰 도움이 될 것 같습니다.
■ 곽경주 이사 우선 이 그룹의 히스토리부터 좀 알아보면은 처음에 랩서스라는 이름을 쓰지는 않았어요. 다른 이름으로 활동을 하고 있었고요. 이제 딥웹 포럼, 다크웹 포럼 이런 곳에서 활동을 하고 있었던 것이죠. 레이드포럼을 포함해서 다양한 포럼에서 활동을 하고 있었는데요.
(작년) 12월인가 올해 1월쯤 들어 자기네 이름을 그때부터 바꾼 것으로 알고 있고 최초에는 EA라고 하는 게임회사, 그곳을 해킹해서 데이터를 탈취했다라고 작년 7월에 포럼에 올렸었고 그러고 나서는 브라질 보건부를 해킹했다는 것으로 많이 알려졌었죠. 작년 12월이었고요.
근데 재밌는 점은 이 친구들이 허풍을 치는 친구들은 아닌 것 같다라는 것이죠. 굵직굵직한 사건들을 계속 일으키고 있는데, 그런 것들이 실제로 해킹을 했던 것으로 결과가 나오고 있고요.
그리고 최근에 6명이 잡혔다, 이렇게 (보도가) 나오는데 이게 처음에는 어떻게 시작된 것이냐면 올해 1월 쯤에 ‘독스빈’이라고 하는 거기에 ‘wh1te’라고 하는 랩서스 일원의 신상정보가 올라옵니다. 그런 것이 올라온 이유는 랩서스 그룹 내에 불화가 있었던 것 같아요. 악의적인 의도였겠죠. 자기네들끼리... 그래서 wh1te라는 사람은 결국 청소년입니다. 16살짜리 청소년인 것으로 나오고 영국에 살고 있어요. 1월에 이미 신상이 공개됐는데 그전까지는 수사기관들이 크게 안 움직이다가 이번에 우리나라 대기업 사건 터지고 마이크로소프트 해킹당하고 이러면서 수사기관들이 그냥 순식간에 여섯 명을 잡아들여요. 처음에는 반신반의했죠. 이 친구들이 과연 몸통일까 아니면 꼬리일까?
랩서스도 텔레그램 채널을 운영합니다. 두 개를 운영하는데 하나는 공지 채널이고 하나는 잡담 채널이에요. 그래서 저희가 공지 채널을 계속 보고 있었죠. 이게 몸통이 잡혔으면 거기에 공지가 안 올라올 것이기 때문이죠. 근데 그냥 보란 듯이 계속 활동을 하더라고요. 그러면서 자기네 코어 멤버들은 아무도 안 잡혔다고 그랬어요. 그런 것을 봤을 때 지금 영국에서 잡힌 그 여섯 명은 그냥 꼬리 쪽인 것 같아요. 그래서 앞으로도 계속 랩서스는 계속 활동을 할 것 같아요.
흥미로운 것이 뭐냐면 자기네들은 해킹을 할 때 파나마 법에 의거해서 공격을 하고 있다고 하고 있는데, 이게 무슨 의미이냐면 파나마는 사이버 범죄 수사 등에 대한 법 조항이 따로 없습니다. 그리고 또 랩서스가 뭐라고 했냐면은 파나마에는 ‘데이터 리텐션’ 조항이 없다고 했어요. 그게 뭐냐면 (파나마에서) 어떤 서버를 운영한다거나 어떤 VPN 서비스를 이용한다고 했을 때, 그 서비스를 이용한 사람들에 관련된 기록을 보존하지 않아도 된다는 거예요. 그러니까 파나마에서 운영되는 서비스 이런 것들 이용하는 것이고, 랩서스 서버 같은 것도 파나마에 있는 것을 이용할 것이고, 제 생각에는 그 친구들 중에 일부는 파나마에 있는 사람도 있지 않을까 그런 생각도 하게 되고요.
□ 권준 국장 개인적으로 궁금한 것인데 랜섬웨어 조직이 있다고 그러잖아요, 근데 이 친구들은 조직원들끼리 오프라인으로는 거의 안 만나는 것인가요?
■ 곽경주 이사 안 만나야 된다고 봅니다. 안 만날 것이라고 보고
□ 권준 국장 같은 조직이지만 오프라인으로 한 번도 본 적이 없을 거라는 말씀이시죠.
[최근 1개월 다크웹 피해국가 및 기업 통계]
□ 권준 국장 한 달 간에도 여러 가지 이슈들이 많아서 재밌는 얘기 많이 들었는데요. 그래도 그동안 피해 국가, 그 다음에 피해 기업 현황들에 대해 간단하게 정리해 주신다면요?
■ 곽경주 이사 일단 랜섬웨어 피해 통계는 거의 포지션이 변하지 않는 것 같아요. 미국이 이번 달에는 70%까지 올라갔고요. 피해 국가들 중에서 가장 많은 포지션을 차지하고 있고 피해 업종 같은 경우에는 제조업종이 제일 많고, 그 다음에 비즈니스 서비스, 컨슈머 서비스, 그리고 호스피탈리티 순으로 많았고요. 그리고 이런 랜섬웨어 말고 딥웹·다크웹 쪽에서 우리나라 관련돼서 올라온 건들이 몇 건 있어요. 국내 대기업 관련된 것도 하나 있었고요. 그곳의 개인정보 등의 데이터가 유출되는 사건들이 몇 건 있었고요.
그리고 저희가 최근에 가장 주의 깊게 봤던 이슈 중에 하나는 중국에 ‘치후360’이라는 보안업체가 있습니다. 그 업체에서 ‘APTC61’이라고 이름을 지은 그룹이 있는데 여기 (텔레그램) 채널에 우리나라 90곳이 넘는 회사의 사이트 목록과 SQL 인젝션 데이터베이스를 탈취할 수 있는 취약점이 있는 URL 같은 것들이 올라왔었거든요. 이런 식으로 텔레그램 기반의 중국 채널이나 중국 기반의 조직들이 눈에 띄는 것들을 많이 올리고 있어요.
□ 권준 국장 최근 다크웹 못지않게 텔레그램을 활용해서 공지를 하거나 이런 경우가 많아지는 것 같아요.
■ 곽경주 이사 그래서 요새 보면은 느낌이 다크웹도 다크웹인데, 텔레그램 채널이나디스코드로 많이 옮겨가고 있어. 그래서 (다크웹)과 마찬가지로 모니터링이 많이 되어야할 것 같습니다.
[기업 보안 담당자들을 위한 보안 팁]
□ 권준 국장 마지막으로 국내 대기업은 물론이고 각종 중소기업들 타깃으로 여러 (해커)조직들이 내부 네트워크에 침입하거나 데이터를 탈취하려는 공격이 되게 많아지고 있거든요. 그래서 기업 보안 담당자들을 대상으로 해서 이사님께서 주의를 해야 한다는 측면 몇 가지만 꼽아주신다면?
■ 곽경주 이사 우선 이번에 ‘랩서스’ 사건 같은 경우에는 이미 어느 정도 예견은 돼있었습니다. 이 공격조직이 이 방법을 안 쓸 이유가 없었거든요. 그 방법이 뭐냐면 이미 다크웹 상에 유출된 계정들 예를 들면 회사 내에서만 사용하는 이메일만 탈취하는 것이 아니라 네이버 메일이나 카카오 메일 이런 것들도 다 탈취를 하거든요. 이런 메일을 탈취해서 뭐에다가 쓰냐면 저희는 기업 내부망에 들어갈 때 2차 인증이라는 것을 하잖아요? 그 2차 인증 연동을 외부에 있는 사설 메일로 연동을 하는 경우도 있기 때문인데요. 특히, VDI나 VPN RDP라는 이런 계정들에 대한 주의는 꼭 필요한 것 같고요. 그리고 외주 직원에 대한 내부 데이터 관리도 중요합니다. 외주 직원들이 내부 데이터를 많이 갖고 있거든요. 그런 것들에 대해서도 관리가 철저하게 이뤄져야 되지 않나라는 생각이 듭니다.
□ 권준 국장 많은 얘기 해주셨는데요. 이번 시간은 이만 마치고 다음에 더 좋은 얘기 듣도록 하겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
