다크웹 기반의 랜섬웨어 그룹한테 피해 본 기업, 전 세계적으로 1,840개
북한 관련 사이버 공격, 인프라 공격보다 금전적 이득에 초점
AI, 다크웹 데이터 학습 등 특화된 모델 나와야
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 37화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□권준 국장 : 안녕하세요 보안뉴스 권준 편집 국장입니다.
■곽경주 이사 : 안녕하세요 S2W 곽경주입니다. 국장님 오늘 목소리가 우렁차신데요? (웃음)
□권준 국장 : 저희 벌써 반년이 지났어요. 너무 빠르게 지나갔거든요?
■곽경주 이사 : 뭔가 허망하네요...
□권준 국장 : 올해 어떻게 가장 기억에 남는 일이라든가...
■곽경주 이사 : 업무적으로 기억에 남은 것은 잘 모르겠고, 기억을 망각하고 싶고요... 공격자들도 좀 쉬어줬으면 좋겠어요... (웃음)
□권준 국장 : 저희가 한번 상반기 결산을 해보려고 합니다. (상반기에) 있었던 이슈들 소개를 한번 해주시겠어요?
▲[곽경주의 다크웹 인사이드] 36화 시작 화면[이미지=보안뉴스]
[2023년 상반기 다크웹 해킹 피해 통계]
■곽경주 이사 : 올해 1월부터 6월 30일까지 통계를 보면, 다크웹 기반의 랜섬웨어 그룹한테 피해를 본 기업이 전 세계적으로 1,840개, 꽤 많아요. 2000개 가까이 되는 것인데, 꽤 많고요. 신규 랜섬웨어 그룹들의 웹사이트가 만들어진 것이 20개가 넘어요. 사라진 것은 3개인데 6배 넘게 많아서, 사라지는 것보다 생기는 것이 많다. 그리고 이제 TOP 랜섬웨어 공격 그룹 같은 경우에는, LockBit 우리 유튜브에서...
□권준 국장 : 단골 메뉴(?)...
■곽경주 이사 : 제일 많이 나오는 부동의 1위. LockBit은 랜섬웨어 범죄자들 사이에 아이돌 같은 느낌이에요.
□권준 국장 : 다크웹 내에서의 위상이 진짜 완전히 그냥 (매우 높은)...
■곽경주 이사 : “누가 이런 것을 해본 적 있겠어?”라고 하는 것들 많이 했죠.
□권준 국장 : 사이버 범죄 분야 여러 가지 것들을 선도해온 느낌?
■곽경주 이사 : 잡았으면 좋겠네요. LockBit이 잡히면 확실히 분위기가 많이 달라질 거예요. 그다음에 BlackCat은 이제 이번 달에 국내의 꽤 큰 화장품 회사가 (피해를) 당했고요. 그리고 Clop이라는 랜섬웨어가 있어요. 여기가 취약점 하나로 전 세계 기업들 거의 200개를 해킹했어요.
그리고 (해킹 피해 기업 수는) 미국 기업이 887개 정도 피해를 봤고, 영국이 100개 캐나다가 90개 프랑스가 60개 정도. 제조업권의 회사가 많아서 그런지 제조업권 쪽이 제일 300개 넘게 피해 기업이 만들어졌고. (전체적으로) 작년 상반기 대비 피해 기업 수가 600개 이상 증가했어요. 작년 말만 해도 “이제 랜섬웨어 사라지나? 많이 활동을 안하네?”이랬는데.
□권준 국장 : 쉬고 있네.
■곽경주 이사 : 보란 듯이 급격하게 증가를 했고요. 상반기에 발생한 주요 이슈들을 보시게 되면, Royal 랜섬웨어라는 곳이 있어요. 그곳에서 Google Ads, Google 광고를 통해서 랜섬웨어를 유포했었고요. 신박한 공격 기법이었었죠. 그리고 Hive 랜섬웨어 인프라가 2023년도 1월 26일에 FBI에 의해서 Takedown 됐어요. 활동이 중단됐고. 그리고 Clop은 Moveit 취약점 이용해 가지고...
□권준 국장 : 최근에 Moveit이 많이 이슈가 되는 것 같아요. 상대적으로 다행스러운 것은 국내에서 (Moveit) 사용 기업이 많지는 않아서 국내 기업 피해는 많이 없다고 얘기는 하는데.
■곽경주 이사 : 대신에 Clop이 눈을 돌려서 아시아에서 많이 사용하는 파일 전송 솔루션들이 있을 것이거든요? 그것의 취약점을 찾고 있을 수도 있죠.
[2023년 상반기 북한 해킹 동향]
□권준 국장 : 상반기 결산하면 또 북한 얘기를 안 할 수 없을 것 같아요. 정부에서도 사실 (북한의 해킹) 공격에 대한 주의보도 발령하고, 한미 정상회담에서부터 이어져가지고 ‘사이버우산’이다. 이런 식으로 북한 사이버 공격에 대한 국내 대응도 좀 빨라지고 있고. 그렇다고 얘네들이 쉬는 것도 아니고. 북한 공격 관련해서 한번 정리를 해주신다면요?
■곽경주 이사 : 북한이 공격 대상이나 공격 수법 자체가 그렇게 드라마틱하게 변하지는 않았어요. 솔루션 취약점 이용한다든가 아니면 스피어 피싱 메일을 이용한다든가, 북한이 이런 허점을 잘 노리는 것 같아요. 최근 이슈 중에는 G사 라고 하는 국내 보안 업체, 그곳이 이제 해킹당했고 그런 공격도 잦아들지 않는다.
□권준 국장 : 홀수의 저주라는 얘기하잖아요? 대규모 사이버 테러들 홀수에 많이 일어났고,
랜섬웨어도 2021년에 가장 심했고. 지금 북한 해커들이 압박이 강하니까 이를 갈고 있다. 이사님께서는 어떻게 보시나요?
■곽경주 이사 : 사실 예전부터 계속 갈고 있었지 않나... 칼을 휘두른 적도 있고, 심대한 타격을 줬던 적도 있고. 근데 최근에 우리나라에 중대한 국가적인 인프라를 다운시키거나 하는 일은 없었기 때문에, 그들의 전략 자체가 바뀐 것 같긴 해요.
금전적인 이득에 더 집중하는 것 같고 ‘안다리엘’은 원래 국가 사이버 테러급의 그런 공격하던 그룹인데, 랜섬웨어를 사용하면서 돈을 버는 모양새를 취하고 있잖아요? 그들의 전략이 바뀌었다. 그것이 더 그들의 나라에 더 이득이 될 수 있다는 생각을 하는 것 같고요.
물론 3·20 사이버 테러 때 이런 것처럼 그런 것을 보여줄 수도 있긴 하겠죠. (가능성을) 배제는 못 할 것 같아요.
[AI와 보안의 미래
□권준 국장 : 올해 상반기 얘기하는 것에 있어서 ChatGPT(에 대한 이야기를) 안 할 수가 없을 것 같아요. (저희가) RSA도 같이 갔지만, 그곳에서도 사실 ‘AI로 시작해서 AI로 끝났다’라는 얘기가 사실 대세였거든요? 이 AI가 창과 방패에서 어떤 더 중요한 역할을 할 것이냐, 그 부분에 대해서 결산을 해주시죠.
■곽경주 이사 : AI가 작년만 해도 분위기가 안 좋았어요. ChatGPT가 나오기 전과 후로 완전히 달라졌는데, ChatGPT가 갑자기 등장하면서 “어!? 우리의 미래는 AI다!”라고 바뀌었죠. 그 분위기가 지금까지 뜨겁게 이어져 오고 있는데. “그럼 보안은? 보안은 어떻게 되고 있어?” 해외의 보안 쪽을 리딩하는 기업들이 생성형 언어 모델을 이용해서 보안 강도를 획기적으로 바꾼 사례가 있느냐 아직까지는 딱히 없죠.
그래서 지금 나오는 얘기는 일반적인 내용에 대해서 학습을 하고 좋은 답변을 주는 것도 중요하지만, 각 분야에 있어서의 그 도메인 지식을 기반으로 학습한 그런 AI 모델들도 많이 나와야 된다. 예를 들면 저희가 하는 이런 다크웹 쪽의 데이터를 가지고 학습해서 그것에 특화된 지식을 주는 언어 모델 그런 서비스가 나와야 되고, 분야별로 특화돼 있는 모델들이 나와야 되지 않나.
그리고 사이버 시큐리티 쪽의 보안이라고 하면 공격이 들어왔을 때 이게 공격이냐 아니냐. 내부망 안에서 뭔가 공격이 이뤄나는데 이상 징후를 식별할 수 있느냐는 것은 또 다른 얘기거든요? 학습 데이터가 아예 달라요. 생성형 언어 모델 ChatGPT 이런 쪽이랑 학습하는 데이터가 아예 다른데, 이 분야는 제가 볼 때는 10년 전이나 5년 전보다 많이 진보하긴 했지만, 아직까지 현업에서 사용하기에는 회의적인 부분들이 있다.
□권준 국장 : 보안 업계가 어떻게 조금 더 (AI를) 실질적으로 활용을 하고, 업무에 도움이 될 수 있도록 하느냐는 아직까지 한계가 있고...
■곽경주 이사 : 많은 것들이 변해야 돼요, 심지어 교육도 변해야 돼요. 보안 인재를 양성하는 교육 쪽도... 지금은 (보안 인재 교육) 커리큘럼들 보면 AI(에 대한 공부)가 거의 없거든요? AI가 접목됐을 때 보안이 어떻게 되는지, 보안하는 사람들은 AI에 대해서 어떤 부분을 알아야 하는지 교육을 해줘야 되는 시대가 왔죠.
□권준 국장 : 상반기 지나서 결산을 해봤는데 정말 많은 일이 있었던 것 같고, 하반기 걱정도 되지만 이사님 같은 분들이 또 열심히 해주신다면 그나마 조금 더 사이버 환경이 좀 더 개선되지 않을까라는 기대를 해보고요. 저희는 미국 BlackHat에서 하반기 트렌드를 전망해보는 시간 갖도록 하겠습니다. 오늘 너무 수고 많으셨습니다.
■곽경주 이사 : 감사합니다.
[원병철 기자(boanone@boannews.com)]
북한 관련 사이버 공격, 인프라 공격보다 금전적 이득에 초점
AI, 다크웹 데이터 학습 등 특화된 모델 나와야
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 37화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□권준 국장 : 안녕하세요 보안뉴스 권준 편집 국장입니다.
■곽경주 이사 : 안녕하세요 S2W 곽경주입니다. 국장님 오늘 목소리가 우렁차신데요? (웃음)
□권준 국장 : 저희 벌써 반년이 지났어요. 너무 빠르게 지나갔거든요?
■곽경주 이사 : 뭔가 허망하네요...
□권준 국장 : 올해 어떻게 가장 기억에 남는 일이라든가...
■곽경주 이사 : 업무적으로 기억에 남은 것은 잘 모르겠고, 기억을 망각하고 싶고요... 공격자들도 좀 쉬어줬으면 좋겠어요... (웃음)
□권준 국장 : 저희가 한번 상반기 결산을 해보려고 합니다. (상반기에) 있었던 이슈들 소개를 한번 해주시겠어요?
▲[곽경주의 다크웹 인사이드] 36화 시작 화면[이미지=보안뉴스]
[2023년 상반기 다크웹 해킹 피해 통계]
■곽경주 이사 : 올해 1월부터 6월 30일까지 통계를 보면, 다크웹 기반의 랜섬웨어 그룹한테 피해를 본 기업이 전 세계적으로 1,840개, 꽤 많아요. 2000개 가까이 되는 것인데, 꽤 많고요. 신규 랜섬웨어 그룹들의 웹사이트가 만들어진 것이 20개가 넘어요. 사라진 것은 3개인데 6배 넘게 많아서, 사라지는 것보다 생기는 것이 많다. 그리고 이제 TOP 랜섬웨어 공격 그룹 같은 경우에는, LockBit 우리 유튜브에서...
□권준 국장 : 단골 메뉴(?)...
■곽경주 이사 : 제일 많이 나오는 부동의 1위. LockBit은 랜섬웨어 범죄자들 사이에 아이돌 같은 느낌이에요.
□권준 국장 : 다크웹 내에서의 위상이 진짜 완전히 그냥 (매우 높은)...
■곽경주 이사 : “누가 이런 것을 해본 적 있겠어?”라고 하는 것들 많이 했죠.
□권준 국장 : 사이버 범죄 분야 여러 가지 것들을 선도해온 느낌?
■곽경주 이사 : 잡았으면 좋겠네요. LockBit이 잡히면 확실히 분위기가 많이 달라질 거예요. 그다음에 BlackCat은 이제 이번 달에 국내의 꽤 큰 화장품 회사가 (피해를) 당했고요. 그리고 Clop이라는 랜섬웨어가 있어요. 여기가 취약점 하나로 전 세계 기업들 거의 200개를 해킹했어요.
그리고 (해킹 피해 기업 수는) 미국 기업이 887개 정도 피해를 봤고, 영국이 100개 캐나다가 90개 프랑스가 60개 정도. 제조업권의 회사가 많아서 그런지 제조업권 쪽이 제일 300개 넘게 피해 기업이 만들어졌고. (전체적으로) 작년 상반기 대비 피해 기업 수가 600개 이상 증가했어요. 작년 말만 해도 “이제 랜섬웨어 사라지나? 많이 활동을 안하네?”이랬는데.
□권준 국장 : 쉬고 있네.
■곽경주 이사 : 보란 듯이 급격하게 증가를 했고요. 상반기에 발생한 주요 이슈들을 보시게 되면, Royal 랜섬웨어라는 곳이 있어요. 그곳에서 Google Ads, Google 광고를 통해서 랜섬웨어를 유포했었고요. 신박한 공격 기법이었었죠. 그리고 Hive 랜섬웨어 인프라가 2023년도 1월 26일에 FBI에 의해서 Takedown 됐어요. 활동이 중단됐고. 그리고 Clop은 Moveit 취약점 이용해 가지고...
□권준 국장 : 최근에 Moveit이 많이 이슈가 되는 것 같아요. 상대적으로 다행스러운 것은 국내에서 (Moveit) 사용 기업이 많지는 않아서 국내 기업 피해는 많이 없다고 얘기는 하는데.
■곽경주 이사 : 대신에 Clop이 눈을 돌려서 아시아에서 많이 사용하는 파일 전송 솔루션들이 있을 것이거든요? 그것의 취약점을 찾고 있을 수도 있죠.
[2023년 상반기 북한 해킹 동향]
□권준 국장 : 상반기 결산하면 또 북한 얘기를 안 할 수 없을 것 같아요. 정부에서도 사실 (북한의 해킹) 공격에 대한 주의보도 발령하고, 한미 정상회담에서부터 이어져가지고 ‘사이버우산’이다. 이런 식으로 북한 사이버 공격에 대한 국내 대응도 좀 빨라지고 있고. 그렇다고 얘네들이 쉬는 것도 아니고. 북한 공격 관련해서 한번 정리를 해주신다면요?
■곽경주 이사 : 북한이 공격 대상이나 공격 수법 자체가 그렇게 드라마틱하게 변하지는 않았어요. 솔루션 취약점 이용한다든가 아니면 스피어 피싱 메일을 이용한다든가, 북한이 이런 허점을 잘 노리는 것 같아요. 최근 이슈 중에는 G사 라고 하는 국내 보안 업체, 그곳이 이제 해킹당했고 그런 공격도 잦아들지 않는다.
□권준 국장 : 홀수의 저주라는 얘기하잖아요? 대규모 사이버 테러들 홀수에 많이 일어났고,
랜섬웨어도 2021년에 가장 심했고. 지금 북한 해커들이 압박이 강하니까 이를 갈고 있다. 이사님께서는 어떻게 보시나요?
■곽경주 이사 : 사실 예전부터 계속 갈고 있었지 않나... 칼을 휘두른 적도 있고, 심대한 타격을 줬던 적도 있고. 근데 최근에 우리나라에 중대한 국가적인 인프라를 다운시키거나 하는 일은 없었기 때문에, 그들의 전략 자체가 바뀐 것 같긴 해요.
금전적인 이득에 더 집중하는 것 같고 ‘안다리엘’은 원래 국가 사이버 테러급의 그런 공격하던 그룹인데, 랜섬웨어를 사용하면서 돈을 버는 모양새를 취하고 있잖아요? 그들의 전략이 바뀌었다. 그것이 더 그들의 나라에 더 이득이 될 수 있다는 생각을 하는 것 같고요.
물론 3·20 사이버 테러 때 이런 것처럼 그런 것을 보여줄 수도 있긴 하겠죠. (가능성을) 배제는 못 할 것 같아요.
[AI와 보안의 미래
□권준 국장 : 올해 상반기 얘기하는 것에 있어서 ChatGPT(에 대한 이야기를) 안 할 수가 없을 것 같아요. (저희가) RSA도 같이 갔지만, 그곳에서도 사실 ‘AI로 시작해서 AI로 끝났다’라는 얘기가 사실 대세였거든요? 이 AI가 창과 방패에서 어떤 더 중요한 역할을 할 것이냐, 그 부분에 대해서 결산을 해주시죠.
■곽경주 이사 : AI가 작년만 해도 분위기가 안 좋았어요. ChatGPT가 나오기 전과 후로 완전히 달라졌는데, ChatGPT가 갑자기 등장하면서 “어!? 우리의 미래는 AI다!”라고 바뀌었죠. 그 분위기가 지금까지 뜨겁게 이어져 오고 있는데. “그럼 보안은? 보안은 어떻게 되고 있어?” 해외의 보안 쪽을 리딩하는 기업들이 생성형 언어 모델을 이용해서 보안 강도를 획기적으로 바꾼 사례가 있느냐 아직까지는 딱히 없죠.
그래서 지금 나오는 얘기는 일반적인 내용에 대해서 학습을 하고 좋은 답변을 주는 것도 중요하지만, 각 분야에 있어서의 그 도메인 지식을 기반으로 학습한 그런 AI 모델들도 많이 나와야 된다. 예를 들면 저희가 하는 이런 다크웹 쪽의 데이터를 가지고 학습해서 그것에 특화된 지식을 주는 언어 모델 그런 서비스가 나와야 되고, 분야별로 특화돼 있는 모델들이 나와야 되지 않나.
그리고 사이버 시큐리티 쪽의 보안이라고 하면 공격이 들어왔을 때 이게 공격이냐 아니냐. 내부망 안에서 뭔가 공격이 이뤄나는데 이상 징후를 식별할 수 있느냐는 것은 또 다른 얘기거든요? 학습 데이터가 아예 달라요. 생성형 언어 모델 ChatGPT 이런 쪽이랑 학습하는 데이터가 아예 다른데, 이 분야는 제가 볼 때는 10년 전이나 5년 전보다 많이 진보하긴 했지만, 아직까지 현업에서 사용하기에는 회의적인 부분들이 있다.
□권준 국장 : 보안 업계가 어떻게 조금 더 (AI를) 실질적으로 활용을 하고, 업무에 도움이 될 수 있도록 하느냐는 아직까지 한계가 있고...
■곽경주 이사 : 많은 것들이 변해야 돼요, 심지어 교육도 변해야 돼요. 보안 인재를 양성하는 교육 쪽도... 지금은 (보안 인재 교육) 커리큘럼들 보면 AI(에 대한 공부)가 거의 없거든요? AI가 접목됐을 때 보안이 어떻게 되는지, 보안하는 사람들은 AI에 대해서 어떤 부분을 알아야 하는지 교육을 해줘야 되는 시대가 왔죠.
□권준 국장 : 상반기 지나서 결산을 해봤는데 정말 많은 일이 있었던 것 같고, 하반기 걱정도 되지만 이사님 같은 분들이 또 열심히 해주신다면 그나마 조금 더 사이버 환경이 좀 더 개선되지 않을까라는 기대를 해보고요. 저희는 미국 BlackHat에서 하반기 트렌드를 전망해보는 시간 갖도록 하겠습니다. 오늘 너무 수고 많으셨습니다.
■곽경주 이사 : 감사합니다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
