보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

‘록빗(LockBit)’ 그룹 검거로 알아보는 랜섬웨어 생태계

2024.04.03

562

사이버 보안 분야에서 가장 악명 높은 조직을 뽑는 설문조사가 이뤄진다면 ‘록빗(LockBit)’ 그룹은 빠지지 않을 것이다. 지난 ’19년 세상에 첫 모습을 드러낸 록빗은 피해자 네트워크가 악성 SW에 감염되면 데이터를 도난하고 시스템을 암호화하는 방식(랜섬웨어)으로 공격을 가해왔다. 그리고 이들은 서비스형 랜섬웨어(RaaS) 사업을 이끌며 사이버 보안 분야의 혼란을 더욱 가속화 시켰는데, 이처럼 악명 높은 이들이 지난 2월 20일 무력화됐다는 소식이 전해졌다.

록빗을 무력화시키는 작전 ‘크로노스(Cronos)’에는 英 국가범죄청(NCA)을 포함한 10여 개국의 수사 기관이 참여했다. 해당 작전을 통해 록빗이 공격에 사용하던 소스코드와 랜섬웨어 피해자에 대한 상세 정보 그리고 복호화 키 등이 확보되는 등 희소식이 전해졌다. 다만 보안 업계에서는 록빗이 완전히 사라지지 않을 것이라는 의견을 표출하기도 했는데, 실제로 공격 인프라에 큰 손상을 입고 두 명의 관계자가 체포되고서 불과 나흘이 지난 시점에 록빗은 부활했다.

이번 기고에서는 랜섬웨어가 올 한 해 사이버 보안 분야에 어떠한 영향을 미칠지를 시작으로 록빗을 무력화시키는데 목적을 둔 크로노스 작전 그리고 랜섬웨어 생태계의 특성에 대해 알아보고자 한다.

01. 올해도 랜섬웨어는 위협적일 것인가?

안타깝게도 랜섬웨어(Ransomware)로 인한 피해는 나날이 증가할 것으로 예상된다. 사실 불과 몇 년 전만 하더라도 랜섬웨어와 관련된 희망적인 전망이 나돌기도 했다. 지난 ‘20년 글로벌 랜섬웨어 피해액이 9억 500만 달러(한화 약 1조 2,000억 원)에서 ‘21년 9억 8,300만 달러(한화 약 1조 3,000억 원)으로 증가했다가 ‘22년 5억 6,700만 달러(한화 약 7,500억 원)로 크게 감소했기 때문이다. 당시 랜섬웨어로 인한 피해가 줄어들자 일각에서는 앞으로 사이버 공격(랜섬웨어)이 점차 줄어들 것이라는 희망적인 전망을 내놓기도 했는데, 이러한 희망은 얼마 지나지 않아 사라졌다.

지난 ’22년 잠시 주춤했던 랜섬웨어는 다시 일 년 만에 공격의 빈도와 범위 그리고 규모 모두 눈에 띄게 증가했다. 글로벌 사이버 보안 기업 체이널리시스(Chainalysis)가 발표한 ‘2024년 가상자산 범죄 보고서(The Chainalysis 2024 Crypto Crime Report)’에 따르면 랜섬웨어로 인한 글로벌 피해는 ’23년 약 11억 달러(한화 약 11조 5,000억 원)로 집계됐는데, 이는 ‘22년 대비 2배 가량 증가한 수치다.

[그림 2] 연도별 랜섬웨어 지불 총액, 2019-2023 (출처: Chainalysis)

‘22년을 제외하면 ‘19년부터 랜섬웨어로 인한 피해는 꾸준히 증가하고 있다. 체이널리시스는 ‘22년의 랜섬웨어 피해액의 감소는 일시적 현상으로 해석된다며 여기에는 러시아-우크라이나 전쟁이나 美 법무부(Department of Justice, 이하 DoJ)의 ‘하이브(Hive)’ 랜섬웨어 그룹 해체 등으로 인한 영향이 있었을 것으로 추정했다. 그리고 체이널리시스는 당시에도 이러한 흐름(랜섬웨어 피해 감소)이 얼마 가지 않을 것으로 예상하기도 했다. 이들은 해당 보고서를 발표하기 전인 ‘23년 7월, “랜섬웨어 공격이 발생하는 속도를 감안했을 때 연말에 신기록을 경신할 가능성이 있다.”라고 경고한 바 있는데, 불행히도 체이널리시스의 예측이 현실이 된 것이다. 그리고 단지 체이널리시스 뿐만 아니라, 여타 사이버 보안 기업들도 랜섬웨어로 인한 피해는 앞으로 증가할 것으로 바라보고 있다.

최근 빠르게 발전하고 증가하는 사이버 공격으로 인해 수많은 경제적 손실이 발생하고 있는 가운데, 국내외 사이버 보안 기업들은 매년 ‘보안 위협 전망’, ‘사이버 보안 전망’ 등의 자료를 발표하고 있다. 개별 조직에게 올 한 해 사이버 보안 분야에서 어떠한 역량을 강화시켜야 할 것인지에 대한 인사이트와 방향을 제시하기 위함인데, 이들은 공통적으로 ‘올해 역시 랜섬웨어로 인한 피해가 지속될 것’이라고 발표했다.

가장 먼저 이글루코퍼레이션은 올 한 해 발생할 사이버 위협으로 ‘이중 공격, 랜섬웨어 공격기법의 고도화’를 선정해 랜섬웨어로 인한 피해가 증가할 것을 우려함과 동시에 △국가 지원 기반 공급망 공격 증가 △사회적 이슈와 공격양상 변화로 인한 사이버보안 생태계의 불안 △사이버 공격의 게임 체인저, 오픈소스 생태계로 인한 위험 체인화 △생성형 AI를 이용한 사이버 공격 증가 등의 흐름이 나타날 것으로 전망했다.

[그림 3] 2024년 사이버 보안 위협 및 기술 전망 (출처: 이글루코퍼레이션)

이글루코퍼레이션은 ‘이중 공격, 랜섬웨어 공격기법의 고도화‘ 전망과 관련해 올해도 전문화된 조직과 지능화된 공격 기술을 바탕으로 서비스형 랜섬웨어(Ransomware as a Service, 이하 RaaS) 시장이 성황을 이룰 것으로 바라봤다. 지난해 전문화된 조직과 지능화된 공격 기술을 바탕으로 RaaS 시장은 그 어느 때보다도 활발하게 운영되었는데, 상반기에는 블랙캣(BlackCat)과 클롭(CLOP) 그리고 록빗 등이 가장 활발하게 활동한 것으로 나타났다. 이 같은 랜섬웨어 조직들은 그간의 사이버 범죄 활동을 통해 불법 데이터 거래, 자금세탁, 크리덴셜 거래, 공격 도구 거래 등 사이버 범죄에 필요한 다양한 요소를 확보해왔는데, 최근에는 취약점을 악용한 공격까지 수행하고 있다. 이는 랜섬웨어 조직들이 파일 암호화 이외에도 다양한 사이버 공격으로 공격 범위를 확장하고 있다는 것을 나타낸다.

이외에도 수많은 사이버 보안 기업들은 올 한 해 랜섬웨어로 인한 피해 증가를 우려했다. 이글루코퍼레이션을 포함해 ‘사이버 보안 전망‘ 등을 발표한 국내외 10개 사이버 보안 기업의 자료를 분석해 본 결과, 랜섬웨어와 관련된 전망은 총 4개로 집계됐다.

랜섬웨어와 관련된 전망을 세부적으로 살펴보면 안랩은 ‘RaaS(서비스형 랜섬웨어) 조직의 변화가 가속화될 것’이라고 바라봤다. 최근 랜섬웨어 조직들에 대한 법 집행기관의 대응이 강화됨에 따라, RaaS 조직들은 생태계를 유지하기 위해 다양한 변화를 시도할 것이라는 점이다. 이들은 다크웹(DarkWeb) 내 포럼과 마켓을 이동하며 이름을 바꾸는 ‘리 브랜드(Re Brand)’ 전략과 수사 기관의 추적을 어렵게 만들고 공격에 실패했을 때 대체 수단으로 사용하기 위해 다른 RaaS 조직이 사용하는 랜섬웨어의 변형을 활용하는 등 일명 ‘다중 랜섬웨어(Multiple Ransomware)’ 전략을 펼칠 것으로 예상된다.

여기에 더해 안랩은 가상화 플랫폼을 노리는 랜섬웨어도 활개칠 것이라고 전망했다. 최근 클라우드 등 하드웨어(HW) 자원을 효율적으로 관리하기 위해 가상화 플랫폼을 도입하는 기업이 꾸준히 증가하고 있는 가운데, 기업의 주요 문서나 내부 인프라, 기밀자료들을 탈취하기 위해 ‘가상화 플랫폼’ 서버를 노린 랜섬웨어 공격이 증가할 것이라는 전망이다.

다음으로 SK쉴더스는 제로데이(Zero Day)를 악용한 랜섬웨어 공격 전략이 고도화될 것이라고 전망했다. SK쉴더스는 최근 기업들이 유지 관리 비용을 줄이고 시스템 문제를 해결하기 위한 액세스 용도로 ‘시스템 원격 액세스 및 제어를 위한 모니터링 관리 도구(Remote Monitoring and Management, 이하 RMM)’를 다수 활용하고 있다고 설명했다. 여기서 RMM은 내부에서 쉽게 탐지되지 않는 정상적인 활동으로 분류되는 만큼 많은 랜섬웨어 그룹들이 이를 악용하고 있는 것으로 나타났다.

이와 함께 SK쉴더스는 AI 기술이 발전함에 따라 랜섬웨어의 유포 방식도 지능적으로 변화하고 있는 점도 우려했다. 또한 최근 랜섬웨어 그룹들이 특정 조직을 대상으로 하는 지능형 지속 공격(Advanced Persistent Threat, 이하 APT)에 주력하는 것이 아닌, ‘MOVEit’ 이나 ‘GoAnywhere’ 등 상용 솔루션들의 제로데이 취약점을 악용하여 대규모 공격을 수행하는 흐름으로 변화함에 따라 이에 대응해야 함을 강조했다.

[표 1] 국내·외 사이버 보안 기업들이 바라본 사이버 위협 전망 (출처: 이글루코퍼레이션)

02. 국제 수사 기관의 공조로 무력화된 ‘록빗(LockBit)’

국내외 사이버 보안 기업들의 전망처럼 랜섬웨어로 인한 피해 그리고 위협은 더욱 증가할 것으로 예상되는 가운데, 지난 2월 20일 ‘록빗(LockBit)’ 그룹이 무력화됐다는 소식이 전해졌다. 지금껏 록빗을 제외하고도 국제 수사 기관들의 공조로 수많은 랜섬웨어 조직들이 검거된 바 있는데, 美 워싱턴포스트(Washington Post), 뉴욕 타임스(New York Times) 등 수많은 언론사들은 록빗의 무력화를 대서특필했다. 그렇다면 록빗의 검거 소식에는 왜 이렇게 많은 관심이 집중됐던 것일까? 그 이유는 바로 록빗이 랜섬웨어 조직들 가운데 ‘리더(Leader)’로 평가받아왔기 때문이다.

[그림 4] 록빗으로 인한 홈페이지 암호화 관련 이미지 (출처: Cyber Security News)

록빗은 수많은 랜섬웨어 조직들 중 가장 활발하게 활동하고 수익성이 높은 조직으로 평가된다. 美 법무부(DoJ)는 록빗으로 인해 지난 4년간 약 2,000명의 피해자가 발생한 것으로 추정했으며, 이들은 피해자들로부터 1억 2,000만 달러(한화 약 1,600억 원) 가량을 탈취했다. 그리고 美 사이버 보안 기업 팔로알토 네트웍스(Palo Alto Networks)는 지난해 전 세계에서 이뤄진 전체 랜섬웨어 공격 4천여 건 가운데 23%에 달하는 공격이 록빗의 소행이라고 밝혔다. 이와 관련해 美 FBI는 랜섬웨어 조직의 공격으로 인한 총 랜섬웨어 비용(다운타임, 복구, 수익 손실 등)을 실제 몸값의 3~4배로 추정하는데, 이는 록빗에서만 수십억 달러의 손실이 발생할 수 있음을 시사한다. 여기에 더해 록빗은 서비스형 랜섬웨어(RaaS) 사업을 이끈 대표 집단으로, 랜섬웨어 확산에 가장 많은 영향을 미치며 ‘리더’로 평가받아 왔다.

록빗은 英 우편 회사인 로열 메일(Royal Mail)과 국가보건서비스(National Health Service, 이하 NHS) 등을 공격해 시스템을 마비시킨 혐의를 받고 있었으며, 지난해 10월에는 美 항공기 제조 회사 보잉(Boeing)을 공격해 확보한 내부 자료를 온라인에 공개하기도 했다. 보잉을 공격하고 얼마 지나지 않아서는 中 중국공상은행(Industrial and Commercial Bank of China, 이하 ICBC)의 미국 지사로부터 돈을 받을 받고 랜섬웨어 공격을 끝냈다고 밝히는 등 최근에도 활발한 활동을 벌여왔다. 심지어 록빗의 우두머리인 ‘록빗수프(LockBitSoup)는 자신들을 처음 찾아내 신원을 밝히는 사람에게 1천만 달러(한화 약 130억 원)를 주겠다고 현상금을 거는 자신감을 보여왔다.

하지만 이처럼 자신만만했던 록빗이 지난 2월 20일, 국제 수사 기관들의 공조로 인해 무력화됐다. ‘크로노스(Cronos)’라고 불린 작전에는 英 국가범죄청(NCA)과 美 법무부(DoJ), 연방수사국(FBI)을 포함한 10여 개국의 수사 기관이 참여했다.

[그림 5] 록빗의 웹사이트(크로노스 작전 성공 이후) (출처: 英 NCA)

해당 작전을 통해 록빗이 공격에 사용하던 소스코드는 물론 △랜섬웨어 피해자들에 대한 상세 정보 △록빗이 탈취한 데이터 △복호화 키 △랜섬웨어 공격을 수행하는 1만 4,000개의 계정 △록빗과 록빗의 협력자들이 가져간 돈과 관련된 정보를 확보했다. 그뿐만 아니라 폴란드·우크라이나 경찰은 록빗 그룹 관련자 2명을 체포하기도 했다. 英 NCA는 상기 이미지에서 확인할 수 있듯이 피해자들의 정보를 공개하는 록빗의 웹사이트를 장악했으며, 여기에 록빗의 현 상황과 크로노스 작전의 성공을 대대적으로 알렸다. 이는 록빗의 공격 인프라를 통해 이들이 무력화됐음을 직접 알린 것으로, 록빗에게 있어 꽤나 망신스러운 일이라고 외신들은 보도한 바 있다.

03. 랜섬웨어 생태계가 가진 특성 ‘부활(Resurrect)’

이처럼 크로노스 작전의 성공을 널리 알린 英 NCA는 록빗의 무력화를 장담하는 발언을 내놓기도 했는데, 다만 사이버 보안 업계에서는 크로노스 작전이 록빗을 완전히 일망타진한 것은 아니었기에 ‘록빗은 완전히 사라지지 않을 것‘이라는 전망을 내놓았다. 그리고 실제로 록빗은 공격 인프라에 큰 손상을 입고 두 명의 관계자가 체포된지 불과 나흘이 지난 시점에 다시 ‘부활(Resurrect)’했다.

[그림 6] 록빗의 부활(Resurrect)과 관련된 이미지 (출처: SC Media)

크로노스 작전으로 사이트가 폐쇄됨에 따라 록빗은 새롭게 마련된 록빗 웹사이트를 통해 “저의 개인적인 해이와 무책임으로 PHP 취약점(CVE-2023-3824로 CVSS 기준 9.8점으로 평가)을 제때 패치하지 못했습니다. 그 결과 외부에서 록빗 공격 인프라에 침투하도록 허용하게 됐고, 두 개의 주요 서버들이 실제 공격에 당하게 됐습니다.”라고 밝혔다. 이는 업데이트만 했더라도 수사 기관에게 뚫릴 일은 결코 벌어지지 않았을 것이란 자만심의 표현이기도 하다.

그리고 이들은 “탈취되지 않은 서버들에는 백업 블로그가 있었고, 취약한 PHP가 설치되어 있지 않았다.”라며 이전에 공격에 당한 조직으로부터 훔친 데이터는 계속 보관할 수 있었으며, 그 데이터를 바탕으로 다시 조직을 운영하는 것이 가능했다고 전했다. 실제로 복구된 록빗의 사이트에는 수많은 피해자들이 올라와 있는 것을 확인할 수 있다.

록빗의 부활을 통해 알 수 있듯이 랜섬웨어 조직들의 ‘부활(Resurrect)’은 하루 이틀 일이 아니다. 지난 수년 동안 여러 수사 기관들은 각종 랜섬웨어 조직들을 추적·무력화하는데 많은 노력을 기울여 왔다. 이로 인해 클롭(CLOP), 하이브(Hive), 블랙캣(BlackCat) 등이 크고 작은 피해를 입었는데, 그럼에도 불구하고 랜섬웨어로 인한 피해는 계속 증가하고 있다. 심지어 국제 공조의 직접적인 표적이 되고서도 살아남은 랜섬웨어 조직이 다수다.

지난해 1월 국제공조로 인해 무력화된 하이브는 아직까지 돌아오지 못하고 있는 반면, 블랙캣과 클롭은 부활해 지금도 활발하게 활동 중이다. 이들과 마찬가지로 록빗도 완전 무력화나 제거에는 이르지 못해 1주일이 지나지도 않은 시점에 부활을 알린 것인데, 그럼에도 불구하고 록빗이 입은 피해는 꽤나 컸을 것으로 예상된다. 가장 큰 피해로는 신뢰도 하락을 꼽을 수 있을 것이다. 크로노스 작전을 통해 록빗의 일부 파트너들의 정보가 수사 기관에 넘어갔는데, 이들이 수사 기관에게 협조해 록빗의 정보를 넘길 수도 있는 만큼 록빗에 대한 신뢰도가 상당 부분 하락했을 것으로 예상된다.

[그림 7] 美 DoS의 초국가적조직범죄보상프로그램(TOCRP) 안내 홈페이지 (출처: 美 DoS)

이처럼 랜섬웨어 조직들의 부활이 지속적으로 이어지는 가운데, 美 정부는 지난 ‘22년 무력화시킨 하이브의 부활을 막기 위해 노력하고 있다. 美 국무부(Department of State, 이하 DoS)는 ‘초국가적조직범죄보상프로그램(Transnational Organized Crime Rewards Program, 이하 TOCRP)’을 통해 하이브를 운영했던 주요 인물을 파악하는 데 도움이 될 만한 정보에는 1천만 달러(한화 약 133억 원) 그리고 하이브에 가담했던 사람에 대한 정보에는 500만 달러(한화 약 66억 원)의 현상금을 지급한다. 여기에 더해 美 정부는 랜섬웨어 피해를 입은 기업들에게 “랜섬웨어로 인한 복구 비용을 지불하지 말라.”라고 당부하고 있는데, 이는 랜섬웨어 조직들의 수익성을 악화시켜 랜섬웨어 조직들이 다시 한번 부활하고자 하는 의지를 꺾는데 의미를 두고 있다. 다만 이러한 조치에도 불구하고 랜섬웨어 조직들의 ‘부활’이 반복되다 보니, 이를 막기 위해서는 보다 강력한 정책과 조치가 필요하다는 목소리가 나오고 있다.

04. 마무리

국내·외 수많은 사이버 보안 기업들이 발표한 ‘2024년 사이버 보안 위협’에서도 알 수 있듯이 록빗과 같은 랜섬웨어 조직들로 인한 피해는 앞으로도 지속될 것이다. 최근 랜섬웨어 조직들은 자신들이 개발한 랜섬웨어·멀웨어를 다른 공격자에게 판매하는 사이버 범죄 비즈니스 모델인 RaaS를 채택하고 있는데, 이로 인해 랜섬웨어로 인한 피해는 급속도로 증가하고 있다. 그리고 수많은 RaaS 기반 사업자들 중 록빗은 가장 악명이 높은 단체이다.

비록 수사 기관들의 공조를 통해 무력화된 록빗이 나흘 만에 부활해 돌아왔지만, 이들이 사용한 공격 수법과 복호화 키 등이 확보됨에 따라 피해자 측면에서는 긍정적인 영향이 발생할 것으로 예상된다. 반면 록빗이 무력화됨에 따라 록빗의 활동은 물론, 이들의 사업 모델과 방식이 노출되어 록빗의 RaaS 서비스를 이용하는 연관자들의 활동이 줄어들 것으로 예상됐던 것과는 다르게 이들은 빠르게 공격 인프라를 복구 중이다.

이 같은 랜섬웨어 생태계를 무력화 시키기 위해 ‘랜섬웨어 조직들이 요구하는 금전을 지불하지 말 것’이라는 방침이 최우선시 되고 있다. 여기에 더해 랜섬웨어 조직들을 무력화시키기 위한 수사 기관들의 끊임없는 공조 활동이 이어지고 있다. 이를 제외하고도 다양한 방안과 정책이 마련되어 있는 상황이긴 하지만, 그럼에도 불구하고 랜섬웨어로 인한 피해는 지속적으로 증가하고 있는 실정이다. 이번 록빗 사태를 통해 알 수 있었듯이 ‘부활(Resurrect)’은 랜섬웨어 생태계에서 빼놓을 수 없는 키워드이다. 랜섬웨어 조직을 무력화 시키기 위해서는 이 이상의 강력한 조치와 정책이 필요할 것으로 보인다.

05. 참고자료

세계 최대 랜섬웨어 그룹 ‘록빗‘, 국제공조로 드디어 잡혔다!, 보안뉴스:
https://www.boannews.com/media/view.asp?idx=126891&kind=&sub_kind

작전명 '크로노스'…해커들 해킹하는데 성공한 미·영 수사기관, 디지털데일리:
https://m.ddaily.co.kr/page/view/2024022109134944766

2023년 랜섬웨어 피해금액 11억 달러 넘어, TechReport:
https://techreport.com/kr/software-news/ransomware-attack-payments-crossed-1-1-billion-in-2023/

이글루코퍼레이션 ‘2024년 사이버 보안 위협 및 기술 전망 보고서’ 발표, 뉴스와이어:
https://www.newswire.co.kr/newsRead.php?no=980765

안랩, 2024년 5대 사이버 보안위협 전망 발표, 뉴스와이어:
https://www.newswire.co.kr/newsRead.php?no=981843

SK쉴더스, ‘2024년 5대 보안위협 전망’ 보고서 발표, 시큐리티팩트:
http://www.securityfact.co.kr/m/page/view.php?no=4609

2023년 12월 랜섬웨어 공격 및 피해사례 집계해보니… 록빗이 85건으로 최다, 보안뉴스:
https://m.boannews.com/html/detail.html?tab_type=1&idx=125511

주도면밀한 록빗 랜섬웨어 갱단, 올해 상반기에도 돈방석에 앉았나, 보안뉴스:
https://m.boannews.com/html/detail.html?idx=124032

국제 공조로 무력화 된 록빗 랜섬웨어, “공격 인프라부터 소스코드, 복호화 키까지”, 보안뉴스:
https://m.boannews.com/html/detail.html?idx=126905&kind=14

국제 공조의 대대적인 성공 이후 1주일 만에 돌아온 록빗, 보안뉴스:
https://m.boannews.com/html/detail.html?idx=127091

“우리 살아있다”…국제 공조로 폐쇄 된 ‘록빗’, 나흘 만에 활동 재개, 한겨레:
https://www.hani.co.kr/arti/international/globaleconomy/1130025.html