"피해기관 수십곳" 록빗 본격 복귀, 랜섬웨어 어떻게 강력해졌나

ⓒ News1 김초희 디자이너

(서울=뉴스1) 윤주영 기자 = 지난해 미 연방수사국(FBI) 국제수사로 활동 기반이 약해진 랜섬웨어 그룹 록빗이 이달 들어 본격적인 활동을 재개했다. 수십여곳의 피해 기관 목록을 다크웹에 올리며 건재함을 과시했다.

14일 보안업계 및 외신에 따르면 록빗은 올해 9월 새 랜섬웨어 버전 '록빗 5.0'을 공개하고 더욱 고도화한 공격에 나선 상황이다.

록빗은 랜섬웨어 공격으로 기업의 민감 데이터를 탈취·암호화한 뒤 돈을 요구한다. 기업이 응하지 않으면 탈취된 정보는 다크웹에서 유통된다.

지난해 2월 미국 연방수사국(FBI) 등이 주도한 합동수사 '크로노스 작전'으로 인프라가 무력화되기 전까진 세계 최대 랜섬웨어 조직으로서 악명을 떨쳤다. 미 법무부는 록빗이 2020년부터 2023년까지 약 2000명 피해자를 발생시켰고, 약 1600억 원의 몸값을 뜯어냈을 거로 추산하고 있다.

크로노스 작전을 통해 △록빗 디지털 인프라 소스코드 △계열사 정보 △차세대 랜섬웨어 개발정보 등이 확보됐다.

하지만 이후에도 새 다크웹을 개설하며 록빗은 근근이 활동을 이어갔다. 올해 9월에는 출현 6주년을 맞아 록빗 5.0을 내놓고 본격적인 복귀 준비를 마쳤다.

록빗5.0은 4.0 버전과 동일한 해싱 알고리즘과 애플리케이션 프로그래밍 인터페이스(API) 로딩 방식을 쓴다. 기존 코드 베이스를 바탕으로 진화한 것이다.

다만 과거와 대비해 암호화 속도, 분석 회피 및 난독화 성능이 강화한 것으로 알려졌다. 또 윈도우·리눅스 등 운영체제(OS)에 더해, VM웨어 등 가상화 환경까지 자유롭게 공격할 수 있는 '크로스 플랫폼'을 지원한다.

이 밖에도 록빗 변종들은 △16자 무작위 파일 확장자 생성 △지리 정보에 기반한 러시아어 시스템 회피 △암호화 완료 후 이벤트 로그 삭제 기능 등을 공통으로 갖고 있다.

더 사이버 익스프레스 등 외신에 따르면 8일 기준 록빗의 새 다크웹엔 21곳의 피해기관 목록이 게재됐다. 그룹이 공격했다고 주장하는 곳이 40여곳 이상이기 때문에 더 많은 피해기관 및 유출 데이터가 공개될 예정이다.

피해기관을 분석해 보면 미국 기업이 상당수를 차지하는 것으로 알려졌다. 다만 남미 지역을 향한 공격 비중이 증가했으며, 공격 성공률도 유독 높은 상황으로 전해진다.

업종별로 보면 비교적 보안 대비가 된 금융·은행·보험업계의 피해가 커 의외라는 평도 나온다.

록빗의 활동 재개로 인한 국내 피해는 아직 명확히 파악되지 않았다. 하지만 한국 역시 랜섬웨어 무풍지대가 아니다. 올해 예스24, SGI서울보증 등이 랜섬웨어에 감염되면서 예매·대출 등 주요 서비스가 중단됐다.

랜섬웨어 공격자는 여러 공격표면을 공략해 초기 침투를 감행한 뒤, 시스템 내부를 횡이동하며 타깃 서버로 접근한다.

다른 경로에서 확보한 내부자 계정 정보를 무작위 대입해 보는 '크리덴셜 스터핑', 악성 메일 첨부파일 등이 대표적인 초기 침투 방법이다.

공격 표면을 다 방어하는 건 사실상 불가능하다는 게 업계의 지배적 시각이다. 피해를 최소화하려면 평소 오프라인 환경에 핵심 데이터를 백업해 두는 게 중요하다.