디지털 시대 사이버 로빈후드? '몸값' 대신 자선단체 기부 요구하는 랜섬웨어

등록 2023.07.29 12:00:00수정 2023.07.29 12:02:05

SK쉴더스, 'KARA 랜섬웨어 동향 보고서'통해 말라스 랜섬웨어 그룹 조명

171개 기업에 랜섬웨어 피해 입혀놓고 "자선단체에 기부하라"종용

보안 전문가 "의적처럼 보이나, 기부 후 복구해 줄 것이라 믿어선 안돼"

[서울=뉴시스]

【서울=뉴시스】송혜리 기자 =
"기업과 경제적 불평등을 싫어한다, 몸값을 자선 단체 기부하라"

'2023년 판 홍길동'이 등장한 것인가, 이런 생각이 들게 하는 이 글귀는 올 상반기에 전 세계적으로 맹위를 떨친 해킹그룹 말라스가 피해자들에게 전달한 랜섬 노트다.

말라스그룹은 지난 5월 전세계 20만명 이상이 사용하는 기업용 이메일 솔루션 짐브라의 취약점을 악용해 단기간에 171개 기업의 네트워크에 침투하고, 피해자 명단을 공개했다. 특히, 이들은 기업의 주요 정보와 자산을 해킹으로 절취해 암호화폐나 이와 유사한 추적 불가능한 방법으로 일명 '몸값'을 요구하는 것이 아닌, 비영리자선단체에 기부를 요구했다.

사뭇 의적처럼 보이는 협박이지만, 보안 업계는 기부를 하면 시스템을 복구시켜 줄 것이라고 믿어선 안된다고 주의를 당부했다.

171개 기업 네트워크 탈취하고 "경제적 불평등 싫으니 기부하라"

29일 SK쉴더스는 최근 발간한 'KARA 랜섬웨어 동향 보고서'를 통해, 전세계 랜섬웨어 공격이 지난 2분기에 1311건 발생했다고 공개했다. 또 이같은 이유로는 다수의 신규 랜섬웨어 등장, 클롭(Clop), 말라스(Malas) 랜섬웨어 그룹의 대규모 공격이 있었기 때문이라고 소개했다.

이번 보고서에선 단기간에 171개 기업에 피해를 입힌 말라스 그룹을 조명했다. 5월에 발견된 말라스 그룹은 이메일·협업 소프트웨어 짐브라(Zimbra Collaboration Suite)의 취약점(CVE-2022-24682)을 악용해 단기간에 171개의 기업의 네트워크에 침투하고, 해당 피해 기업의 명단을 다크웹에 게시했다. 짐브라는 이메일, 캘린더, 파일 공유 등 원격 협업에 필요한 많은 기능을 제공하는 도구 모음이다. 오픈소스이기 때문에 널리 사용되고 있고, 또 이 때문에 짐브라에 대한 사이버 공격자들의 관심도 높은 편이다.

이호석 SK쉴더스 EQST랩장(담당)은 "말라스 그룹의 대규모 공격이 가능했던 이유는, 발견된 지 오래된 취약점으로 보안 관심도가 떨어지지만 기업에서 사용도가 높은 솔루션을 초기 침투 타깃으로 삼아 공격을 수행했기 때문"이라며 "이를 통해 해당 솔루션을 사용하는 다양한 기업에 침투 가능하며 짧은 시간 안에 큰 피해를 입힐 수 있다"고 설명했다.

말라스 그룹은 절취한 정보로 피해 기업들을 협박한 것은 기존 랜섬웨어 그룹과 다를 바 없었으나, 일반적인 금전 갈취 방식과는 다르게 비영리자선단체에 기부를 요구했다. 이들은 보통 암호 해독 키 또는 정상 작업 복구를 대가로 몸값을 지불하는 방법에 대한 지침을 전달하는 랜섬 노트를 통해 '기업과 경제적 불평등을 싫어한다'며 자선단체 기부를 요구하는 내용을 전달했다.

의적 행세하지만 기부하면 시스템·정보 복구해 줄 것이라 믿어선 안돼

말라스 그룹처럼 '의적' 행세를 하는 해킹그룹 사례로는 지난 2016년 몸값 일부를 피해자의 이름으로 어린이 자선 단체에 기부한다는 내용을 랜섬노트에 기재한 크립토믹스(cryptomix)가 있다.

지난해엔 거리의 어려운 사람들에게 새 옷과 담요를 제공할 것, 13세 이하의 5명의 불우한 아이들에게 도미노, 피자헛, KFC에 데려가 음식을 사줄 것, 가장 가까운 병원을 방문해 긴급 진료를 받으러 온 사람들 중 돈이 없는 사람에게 돈을 기부할 것 등을 요구한 굿윌(Goodwill) 랜섬웨어도 발견됐다.

말라스 그룹 발견 직전인 지난해 10월엔 2만달러(약 2500만원)를 자선단체에 기부하고 증명서를 게시한 다크사이드(Darksid)그룹도 있었다.

그러나 보안 업계선 이는 단순 파괴, 암호 화폐 요구와는 사뭇 다른 의적처럼 보이는 협박이지만 실제 기부 후 정상적으로 복구될 것이라고 확신해선 안된다고 경고했다.

한 보안 전문가는 "앞서 다크사이드 랜섬웨어 그룹의 경우 실제 기부증을 공개하기는 했으나, 타인에게 피해를 입힌 결과물일 뿐"이라고 설명했다. 아울러 "말라스 그룹의 경우 지난 5월에 발견됐기 때문에 아직은 이들의 해킹 목적을 판단하긴 이르다"면서도 "그렇다고 이들의 요구를 순순히 따라 주는 것 또한 경계해야 한다"고 설명했다.

한편, KARA와 SK쉴더스는 급변하는 랜섬웨어 공격에 대비하기 위해 각 단계별 보안 요소·프로세스를 마련할 것을 강조했다. 기업이 보유하고 있는 네트워크 및 인프라, 자산 등에 대한 관리가 구조화돼야 하며 침해사고 발생 시 대응 프로세스가 제대로 작동하는 지 점검해야 한다고 밝혔다. 또한 랜섬웨어 공격이 고도화되고 있는 만큼 랜섬웨어 특화 보안 솔루션 구축과 컨설팅 도입 등을 주문했다.

◎공감언론 뉴시스 [email protected]