악명 높은 랜섬웨어 집단인 록빗이 서드파티를 통해 유명 칩셋 제조사인 TSMC를 공략하는 데 성공했다. 그리고 현재는 7천만 달러라는 어마어마한 금액을 요구했다. TSMC의 이번 사건을 통해 우리는 랜섬웨어 산업의 어떤 면모를 볼 수 있을까?
[보안뉴스 문정후 기자] 대만의 대형 칩셋 제조사인 TSMC가 서드파티 파트너사를 통한 사이버 공격에 당했다. 문제의 서드파티는 킨맥스테크놀로지(Kinmax Technology)라는 업체였으며, 공격을 가한 것은 록빗(LockBit)이라는 랜섬웨어 단체였다. 이들은 TSMC 측에 7천만 달러의 돈을 요구했으며, 이를 거절할 경우 이번에 가져간 정보를 공개하겠다고 협박하는 중이다.
[이미지 = gettyimagesbank]
아무리 TSMC가 큰 회사라고 하더라도 7천만 달러는 옆집 강아지 이름이 아니다. 하지만 요즘 랜섬웨어 공격자들은 이런 천문학적 금액을 아무렇지 않게 부르곤 한다. 일종의 트렌드로 굳어져가는 것이다. 그렇다면 록빗은 아무리 큰 금액이라고 해도 받을 자신이 있으니 이런 규모의 돈을 요구한 것일까? TSMC는 이번 랜섬웨어 사건으로 어떤 일을 겪게 될까? 이 사건을 통해 이후에 있을 록빗 피해자들은 어떤 교훈을 얻어야 할까?
침해 사고
킨맥스테크놀로지는 6월 29일 침해 사실을 발견했다고 발표했다. 서버의 초기 설정과 관련된 정보들이 외부로 새나갔다는 내용이었다. 킨맥스와 TSMC가 자주 주고받던 정보였다고 하는데, 침해 사실을 발견한 이후로는 더 이상 해당 정보를 전송하거나 받지 않았다고 한다. 또한 TSMC의 사업 행위에는 어떠한 영향도 미치지 않았다고 하며, TSMC의 고객 정보도 무사한 것으로 조사됐다고 한다. 하지만 TSMC가 록빗과 거래를 할 것인지에 대해서는 별다른 언급이 없었다.
보통 자신이 랜섬웨어에 당했다는 걸 알게 된 기업은 두 가지 선택지를 갖게 된다. 공격자에게 돈을 지불하느냐 하지 않느냐이다. 어떤 것이 맞는 선택인지에 대해서는 업계 내 전문가들마다 다른 의견을 가지고 있다. TSMC가 어떤 선택을 할지 아직 아무도 모른다. 보안 업체 딥왓치(Deepwatch)의 부회장 빌 버나드(Bill Bernard)는 “TSMC가 록빗에게 돈을 낼 가능성은 낮아 보인다”는 입장이다. “TSMC나 킨맥스나 공격자들이 가져간 정보는 사업 행위와 고객 정보에 아무런 영향을 미치지 않는다는 입장을 계속해서 강조해 왔습니다. 그 말이 사실이라면 사실 돈을 낼 이유가 없죠.”
실제로 지난 1~2년 동안 많은 피해 기업들이 랜섬웨어 공격자들에게 돈을 내지 않는 편을 택하고 있다. 이것 역시 일종의 트렌드라고 볼 수 있다. “그래서 랜섬웨어 공격 시도는 빈번해지고 있는데, 돈을 지불하는 경우는 줄어들고 있습니다. 랜섬웨어 공격자들이 요구하는 돈이 너무 많아서 그 돈이면 차라리 복구할 수 있겠다고 결론을 내린 것이죠.”
더 저렴한 쪽을 선택했다고 해서 기업들이 랜섬웨어의 피해를 크게 줄일 수 있는 건 아니다. 그 외 다른 여파들을 겪어내야만 했기 때문이다. 데이터 보안 회사 다세라(Dasera)의 CEO 아니 차우두리(Ani Chaudhuri)는 “TSMC가 돈을 내지 않기로 선택할 경우 일시적으로 특정 사업 운영에 차질이 빚어질 수 있고, 일부 데이터가 손실될 수 있으며, 이로 인한 시장 신뢰도 하락 등을 겪을 수 있다”고 설명한다. 어떤 사업이 중단되고, 어떤 데이터가 손실되느냐에 따라 이 피해는 대단히 커질 수 있다.
이런 피해를 입기 싫어 TSMC가 돈을 내기로 결정한다면 어떻게 될까? 모든 일이 잘 풀린다면 데이터를 무사히 되찾아 아무 일도 없었던 것처럼 사업을 이어갈 수도 있다. 하지만 랜섬웨어라는 사업 모델의 유효성을 입증하게 되기도 한다. 여기에 용기를 얻은 랜섬웨어 공격자들은 더 대담한 금액을 피해자들에게 요구할 것이다. “수익이 좋다는 소문이 나면 더 많은 해커들이 랜섬웨어 사업에 뛰어들 것입니다. 심지어 해킹을 잘 모르는 자들도 랜섬웨어 사업을 하기 위해 컴퓨터를 더 공부할 것이고요.” 차우두리의 설명이다.
계속되는 랜섬웨어 활동
2022년 한 해 동안 세계에서 가장 활발히 활동한 랜섬웨어 단체는 록빗이었다고 미국의 사이버 보안 전담 기관인 CISA는 설명한다. 또한 CISA는 록빗이 2020년부터 현재까지 미국의 기업과 기관들로부터 9100만 달러가 넘는 돈을 빼앗아 갔다고 집계하고 있기도 하다. 3년 넘게 번 돈이 9천만 달러를 조금 넘는데 TSMC로부터 요구한 돈이 7천만 달러라는 것은 꽤나 중대한 의미를 갖는다.
보안 업체 사이버캐치(CyberCatch)의 CEO 사이 후다(Sai Huda)는 “록빗이 7천만 달러를 요구했다는 건 그만큼 자신감이 누적됐다는 뜻”이라고 설명한다. “TSMC라는 기업을 옭아맸다는 자신감과, TSMC 정도 되는 기업이라면 그 정도 돈을 낼 수 있을 거라는 자신감이 다 작용하는 것이죠. 참고로 단일 피해 조직에 랜섬웨어 공격자들이 요구한 돈 중 7천만 달러는 역대 5번째로 큰 금액입니다.”
록빗이 정말로 7천만 달러를 얻게 된다면 록빗이라는 조직은 더 공격적으로 사업을 이어갈 것으로 예상된다. 더 향상된 공격 인프라와 악성 페이로드를 개발함은 물론 더 유능한 파트너들을 끌어모아 세력을 확장할 것이다. 하지만 TSMC가 동전 한닢 주지 않는다면 어떨까? IT-ISAC의 총괄 스콧 알제이어(Scott Algeier)는 “그렇더라도 이번 사건을 가지고 수익을 만들어낼 것”이라며, “여러 가지 수익화 방법을 동원할 것”이라고 본다.
그렇다고 랜섬웨어 조직들의 앞날이 창창한 것만은 아니다. 수많은 정부 기관들이 랜섬웨어 조직들의 활동을 중단시키기 위해 바삐 공조하고 있기 때문이다. 지난 6월 미국의 사법부는 록빗의 활동에 관여한 한 러시아인을 기소한 바 있다. 1월에도 사법부는 하이브(Hive)라는 또 다른 랜섬웨어 조직의 공격 활동을 방해하고 중단시키기 위해 시도한 것들을 세부적으로 공개하기도 했었다.
랜섬웨어 조직들의 활동을 방해하는 건 정부 기관들만이어서는 안 된다. 랜섬웨어에 걸린 피해자들도 맡아야 할 역할이 있다. “그 역할이라는 것은 사이버 보안을 강화함으로써 피해자가 되지 않는 것에서부터 시작합니다. 특히 랜섬웨어를 방어하는 것이 IT 담당부서가 아니라 기업 전체의 책임이라는 것을 이해하는 게 중요합니다. 랜섬웨어 산업이 성장하는 것을 막으려면 이런 공동의 노력이 필요합니다.”
알제이어는 “서드파티 리스크가 현대 보안에서는 최대의 이슈”라고 지적한다. “TSMC 정도 되는 최첨단 업체가 결국은 서드파티를 통해 랜섬웨어에 당했다는 사실이 많은 것을 시사합니다. 결국 공격자들이 중요 기업이나 기관을 애써 노리지 않아도 된다는 뜻이 되거든요. 그들이 어떤 업체들과 파트너십을 맺고 있는지 파악하고 그 중 허술한 곳을 뚫어내면 됩니다.”
후다는 “랜섬웨어 공격에 당했음을 상정하고 사건 대응 훈련을 실시해 그 방면에서의 능력을 키워내는 것도 중요하다”고 짚는다. “예방이 최선책이긴 하지만 언제나 예방에 성공할 수 있는 건 아닙니다. 또 최근 랜섬웨어 공격자들은 시간을 느긋이 가지고 여러 정보를 빼돌리는 데 집중하기도 하거든요. 그러니 공격을 얼른 탐지하는 것도 예방만큼 중요합니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 대만의 대형 칩셋 제조사인 TSMC가 서드파티 파트너사를 통한 사이버 공격에 당했다. 문제의 서드파티는 킨맥스테크놀로지(Kinmax Technology)라는 업체였으며, 공격을 가한 것은 록빗(LockBit)이라는 랜섬웨어 단체였다. 이들은 TSMC 측에 7천만 달러의 돈을 요구했으며, 이를 거절할 경우 이번에 가져간 정보를 공개하겠다고 협박하는 중이다.
[이미지 = gettyimagesbank]
아무리 TSMC가 큰 회사라고 하더라도 7천만 달러는 옆집 강아지 이름이 아니다. 하지만 요즘 랜섬웨어 공격자들은 이런 천문학적 금액을 아무렇지 않게 부르곤 한다. 일종의 트렌드로 굳어져가는 것이다. 그렇다면 록빗은 아무리 큰 금액이라고 해도 받을 자신이 있으니 이런 규모의 돈을 요구한 것일까? TSMC는 이번 랜섬웨어 사건으로 어떤 일을 겪게 될까? 이 사건을 통해 이후에 있을 록빗 피해자들은 어떤 교훈을 얻어야 할까?
침해 사고
킨맥스테크놀로지는 6월 29일 침해 사실을 발견했다고 발표했다. 서버의 초기 설정과 관련된 정보들이 외부로 새나갔다는 내용이었다. 킨맥스와 TSMC가 자주 주고받던 정보였다고 하는데, 침해 사실을 발견한 이후로는 더 이상 해당 정보를 전송하거나 받지 않았다고 한다. 또한 TSMC의 사업 행위에는 어떠한 영향도 미치지 않았다고 하며, TSMC의 고객 정보도 무사한 것으로 조사됐다고 한다. 하지만 TSMC가 록빗과 거래를 할 것인지에 대해서는 별다른 언급이 없었다.
보통 자신이 랜섬웨어에 당했다는 걸 알게 된 기업은 두 가지 선택지를 갖게 된다. 공격자에게 돈을 지불하느냐 하지 않느냐이다. 어떤 것이 맞는 선택인지에 대해서는 업계 내 전문가들마다 다른 의견을 가지고 있다. TSMC가 어떤 선택을 할지 아직 아무도 모른다. 보안 업체 딥왓치(Deepwatch)의 부회장 빌 버나드(Bill Bernard)는 “TSMC가 록빗에게 돈을 낼 가능성은 낮아 보인다”는 입장이다. “TSMC나 킨맥스나 공격자들이 가져간 정보는 사업 행위와 고객 정보에 아무런 영향을 미치지 않는다는 입장을 계속해서 강조해 왔습니다. 그 말이 사실이라면 사실 돈을 낼 이유가 없죠.”
실제로 지난 1~2년 동안 많은 피해 기업들이 랜섬웨어 공격자들에게 돈을 내지 않는 편을 택하고 있다. 이것 역시 일종의 트렌드라고 볼 수 있다. “그래서 랜섬웨어 공격 시도는 빈번해지고 있는데, 돈을 지불하는 경우는 줄어들고 있습니다. 랜섬웨어 공격자들이 요구하는 돈이 너무 많아서 그 돈이면 차라리 복구할 수 있겠다고 결론을 내린 것이죠.”
더 저렴한 쪽을 선택했다고 해서 기업들이 랜섬웨어의 피해를 크게 줄일 수 있는 건 아니다. 그 외 다른 여파들을 겪어내야만 했기 때문이다. 데이터 보안 회사 다세라(Dasera)의 CEO 아니 차우두리(Ani Chaudhuri)는 “TSMC가 돈을 내지 않기로 선택할 경우 일시적으로 특정 사업 운영에 차질이 빚어질 수 있고, 일부 데이터가 손실될 수 있으며, 이로 인한 시장 신뢰도 하락 등을 겪을 수 있다”고 설명한다. 어떤 사업이 중단되고, 어떤 데이터가 손실되느냐에 따라 이 피해는 대단히 커질 수 있다.
이런 피해를 입기 싫어 TSMC가 돈을 내기로 결정한다면 어떻게 될까? 모든 일이 잘 풀린다면 데이터를 무사히 되찾아 아무 일도 없었던 것처럼 사업을 이어갈 수도 있다. 하지만 랜섬웨어라는 사업 모델의 유효성을 입증하게 되기도 한다. 여기에 용기를 얻은 랜섬웨어 공격자들은 더 대담한 금액을 피해자들에게 요구할 것이다. “수익이 좋다는 소문이 나면 더 많은 해커들이 랜섬웨어 사업에 뛰어들 것입니다. 심지어 해킹을 잘 모르는 자들도 랜섬웨어 사업을 하기 위해 컴퓨터를 더 공부할 것이고요.” 차우두리의 설명이다.
계속되는 랜섬웨어 활동
2022년 한 해 동안 세계에서 가장 활발히 활동한 랜섬웨어 단체는 록빗이었다고 미국의 사이버 보안 전담 기관인 CISA는 설명한다. 또한 CISA는 록빗이 2020년부터 현재까지 미국의 기업과 기관들로부터 9100만 달러가 넘는 돈을 빼앗아 갔다고 집계하고 있기도 하다. 3년 넘게 번 돈이 9천만 달러를 조금 넘는데 TSMC로부터 요구한 돈이 7천만 달러라는 것은 꽤나 중대한 의미를 갖는다.
보안 업체 사이버캐치(CyberCatch)의 CEO 사이 후다(Sai Huda)는 “록빗이 7천만 달러를 요구했다는 건 그만큼 자신감이 누적됐다는 뜻”이라고 설명한다. “TSMC라는 기업을 옭아맸다는 자신감과, TSMC 정도 되는 기업이라면 그 정도 돈을 낼 수 있을 거라는 자신감이 다 작용하는 것이죠. 참고로 단일 피해 조직에 랜섬웨어 공격자들이 요구한 돈 중 7천만 달러는 역대 5번째로 큰 금액입니다.”
록빗이 정말로 7천만 달러를 얻게 된다면 록빗이라는 조직은 더 공격적으로 사업을 이어갈 것으로 예상된다. 더 향상된 공격 인프라와 악성 페이로드를 개발함은 물론 더 유능한 파트너들을 끌어모아 세력을 확장할 것이다. 하지만 TSMC가 동전 한닢 주지 않는다면 어떨까? IT-ISAC의 총괄 스콧 알제이어(Scott Algeier)는 “그렇더라도 이번 사건을 가지고 수익을 만들어낼 것”이라며, “여러 가지 수익화 방법을 동원할 것”이라고 본다.
그렇다고 랜섬웨어 조직들의 앞날이 창창한 것만은 아니다. 수많은 정부 기관들이 랜섬웨어 조직들의 활동을 중단시키기 위해 바삐 공조하고 있기 때문이다. 지난 6월 미국의 사법부는 록빗의 활동에 관여한 한 러시아인을 기소한 바 있다. 1월에도 사법부는 하이브(Hive)라는 또 다른 랜섬웨어 조직의 공격 활동을 방해하고 중단시키기 위해 시도한 것들을 세부적으로 공개하기도 했었다.
랜섬웨어 조직들의 활동을 방해하는 건 정부 기관들만이어서는 안 된다. 랜섬웨어에 걸린 피해자들도 맡아야 할 역할이 있다. “그 역할이라는 것은 사이버 보안을 강화함으로써 피해자가 되지 않는 것에서부터 시작합니다. 특히 랜섬웨어를 방어하는 것이 IT 담당부서가 아니라 기업 전체의 책임이라는 것을 이해하는 게 중요합니다. 랜섬웨어 산업이 성장하는 것을 막으려면 이런 공동의 노력이 필요합니다.”
알제이어는 “서드파티 리스크가 현대 보안에서는 최대의 이슈”라고 지적한다. “TSMC 정도 되는 최첨단 업체가 결국은 서드파티를 통해 랜섬웨어에 당했다는 사실이 많은 것을 시사합니다. 결국 공격자들이 중요 기업이나 기관을 애써 노리지 않아도 된다는 뜻이 되거든요. 그들이 어떤 업체들과 파트너십을 맺고 있는지 파악하고 그 중 허술한 곳을 뚫어내면 됩니다.”
후다는 “랜섬웨어 공격에 당했음을 상정하고 사건 대응 훈련을 실시해 그 방면에서의 능력을 키워내는 것도 중요하다”고 짚는다. “예방이 최선책이긴 하지만 언제나 예방에 성공할 수 있는 건 아닙니다. 또 최근 랜섬웨어 공격자들은 시간을 느긋이 가지고 여러 정보를 빼돌리는 데 집중하기도 하거든요. 그러니 공격을 얼른 탐지하는 것도 예방만큼 중요합니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
