2021-06-23 10:45 (수)
랜섬웨어 조직 “400억 내놔”…이랜드 “40억에 협상”…다크웹에 랜섬머니 협상 추정 대화창 포착돼
상태바
랜섬웨어 조직 “400억 내놔”…이랜드 “40억에 협상”…다크웹에 랜섬머니 협상 추정 대화창 포착돼
  • 길민권 기자
  • 승인 2020.11.24 17:52
이 기사를 공유합니다

랜섬머니 주면 향후 한국 기업들 타깃 우려…안주면 고객정보 다크웹에 무조건 공개
랜섬웨어 공격자들 1~2년 사이 큰 돈 벌고 은퇴해 버려
램섬웨어 공격에 대한 방어 전략, 다시 설계해야 할 상황
다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.
다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.(1)

이랜드그룹이 22일 ‘클롭’ 랜섬웨어 조직의 공격을 받아 NC백화점과 뉴코아아울렛 등 점포 50여개 중 23개의 정상 영업이 어려운 상황에 처하는 등 피해가 심각하다. 23일부터는 정상영업에 들어갔다.

이에 이랜드그룹은 랜섬웨어 대응 태스크포스(TF)팀을 구성해 복구 노력과 함께 경찰에 수사를 의뢰하는 등 소비자 불편과 피해 최소화를 위해 노력하고 있다.

■클롭 랜섬웨어 조직, 세계 각국 기업들 공격해 거액 탈취

지난해부터 클롭(Clop) 랜섬웨어 조직은 백신의 보안기능 작동을 멈추게 한 후 타깃 기업의 데이터를 암호화하고 랜섬머니를 요구해 왔다. CryptoMix 랜섬웨어의 변종으로 알려져 있으며 윈도우 디펜더를 비활성화 하기 위해 행위 모니터링, 실시간 보호, 마이크로소프트에 샘플 업로드, 변조 보호, 클라우드 탐지, 안티 스파이웨어 탐지와 같은 기능을 비활성화 해 탐지를 못하게 한다.

이들은 지난해 프랑스 병원, 벨기에 대학 등 다양한 국가의 기업과 병원, 대학 등을 타깃으로 랜섬웨어 공격을 실행해 큰 돈을 벌어왔던 조직이다. 국내 보안분석가들은 클롭 조직을 러시아나 동유럽에 근거를 둔 조직으로 파악하고 있다.

다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.(2)
다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.(2)

■ 다크웹에 클롭-이랜드 간 협상으로 추정되는 채팅방 포착돼

한편 22일 다크웹에서 이랜드 엔지니어와 랜섬웨어 공격자간 랜섬머니 지불 문제를 놓고 협상을 진행하는 것으로 추정되는 채팅창 내용이 정보보호 분석가들에 의해 포착됐다.

이들의 채팅 내용을 보면, 랜섬웨어 조직은 비트코인으로 약 440억원 정도를 요구했고 피해기업 측은 40억 정도만 지불할 수 있다는 식으로 협상이 이루어 진 것을 알 수 있다. 말미에는 공격자가 50% DC한 200억원을 제시했다. 그들은 당신들 정도의 기업이면 그 정도는 지불할 수 있다는 등 피해 기업에 대한 상세한 분석을 통해 랜섬머니를 책정하고 있다는 것도 엿볼 수 있다.

다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.(3)
다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.(3)

이런 협상 대화가 오가던 중, 피해기업 측 직원이 여러 사람들이 이 채팅창을 보고 있으니 이메일로 협상을 이어가자고 제안했고 공격자와 피해자 대화는 거기서 끝난다.

랜섬웨어 공격자들은 피해 기업에 랜섬머니를 받을 때 협상을 위해 주로 다크웹에 채팅창을 열어 협상을 시도하고 랜섬머니를 받아 챙긴다. 보안 분석가들은 공격자가 사용한 악성코드를 분석해 해당 채팅창에 들어 갈 수 있었고 그들의 대화를 볼 수 있었던 것이다.

■ 거액 랜섬머지 지불하면 한국 기업들 집중 타깃 될 우려

한편 클롭 랜섬웨어 조직은 상당히 많은 기업들을 공격해 이미 많은 랜섬머니를 챙겼으며 랜섬머니를 지불하지 않는 기업에 대해서는 가차없이 다크웹에 기업 데이터를 공개해 버리고 있다. 이들이 공개한 기업 데이터만해도 이미 17개 기업에 이른다.

다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.(4)
다크웹에서 포착된 랜섬웨어 공격자와 피해기업 직원이 협상하는 것으로 추정되는 대화내용.(4)

클롭 조직은 자신들이 요구하는 랜섬머니를 지불하지 않으면 이랜드 고객 200만 개 정도의 카드정보를 다크웹에 공개할 것이라고 협박하고 있는 것으로 알려졌으며 실제로 지불하지 않으면 기존에 해 왔던 수법 대로 다크웹에 공개될 것으로 추정된다.

■랜섬머니 지불하지 않으면 무조건 다크웹에 데이터 공개해 버려

국내 보안분석가는 “클롭은 이미 17개에 달하는 기업 데이터를 공개한 바 있다. 이번에도 지불하지 않으면 탈취한 정보를 공개할 것으로 예상된다”며 “하지만 만약 거액의 랜섬머니를 지불하게 되면 랜섬웨어 공격 조직들 사이에 한국 기업들이 큰 돈을 지불한다는 소문이 나게 되고 그렇게 되면 한국 기업들이 집중 타깃이 될 우려도 있다. 최근 랜섬웨어 공격자들은 1년~2년 정도 큰 돈을 벌고 은퇴해 버린다. 그래서 검거하기도 힘들고 추적도 힘들다”고 전했다.

모 보안기업 관계자도 “램섬웨어 공격자들이 요구하는 랜섬머니 규모가 점점 커지고 있다. 그렇다고 돈을 주지 않으면 다크웹에 정보를 공개해 버리는 것은 기정 사실이다. 카드정보가 공개되면 2, 3차 피해로 이어질 수 있어 진퇴양난이 아닐 수 없다”며 “이제 랜섬웨어 공격을 차단하고 예방하기는 힘든 수준이다. 방어의 목적을 데이터가 유출되더라고 암호화나 DRM 등을 사용해 공격자가 어떤 데이터인지 알 수 없도록 하는 것이 필요해 보인다. 유출될 수 있다는 것을 전제하에 보안을 설계할 필요가 있다”고 권고했다.

★정보보안 대표 미디어 데일리시큐!★


관련기사