기업 협박 나선 랜섬웨어 그룹 '록빗'…"몸값 내라" 카운트다운

11개국 수사기관의 무력화에도 불구하고 새 다크웹 개설
랜섬웨어 사고 파는 RaaS…"사이버 공격 생태계化 우려"

록빗의 범죄 인프라인 다크웹이 11개국 국제수사기관 합동 '크로노스 작전'에 의해 지난달 무력화됐다. ⓒ 로이터=뉴스1 ⓒ News1 윤주영 기자

(서울=뉴스1) 윤주영 기자 = "○○ 기업은 데이터가 유출되기 싫다면 돈을 □□까지 지불하라"

국제 수사로 활동이 주춤했던 랜섬웨어 그룹 록빗이 범죄를 다시 이어가고 있다. 새로 구축한 다크웹에는 정보 탈취 기업과 몸값을 낼 기한까지 표기됐다.

21일 보안업계에 따르면 수사기관에 의해 다크웹이 무력화된 록빗은 백업 블로그를 활용해 새 다크웹을 구축했다.

몸값(Ransom)과 소프트웨어(Software)의 합성어인 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없게 하는 사이버 공격이다.

록빗은 이에 더해 기업의 민감 데이터를 탈취 후 돈을 요구한다. 피해 기업이 응하지 않으면 탈취 정보를 공개하거나 다크웹에서 거래한다.

지난해에는 미국 항공·방산 회사 보잉이 43기가바이트(GB)가량의 정보가 유출되는 피해를 보았다.

이들을 막고자 영국 국립범죄청(NCA)·미국 연방수사국(FBI)·유럽 연합 법집행협력청(유로폴) 등 11개국 수사기관은 합동으로 '크로노스 작전'을 수행했다. 지난달 20일에는 록빗의 다크웹을 압수하는 데 성공했다. 수사 과정에서 △록빗 디지털 인프라의 소스코드 △계열사 정보 △록빗의 차세대 랜섬웨어 개발정보 등도 확보됐다.

사이트 통제와 더불어 피해 복구 조치도 취해졌다. 수사기관은 록빗의 복호화 키에 기반해 록빗이 잠근 탈취 데이터를 풀어주는 도구를 배포했다.

하지만 지난달 24일 록빗은 새 다크웹 개설과 더불어 범죄를 지속하겠다는 성명을 냈다.

이들은 성명을 통해 "수사기관이 웹 구축에 쓰이는 PHP 프로그래밍 언어 취약점을 파고들어 다크웹을 무력화시켰다"며 "백업 블로그를 갖춘 다른 서버들은 PHP 언어에 기반하지 않아 수사기관의 영향 밖에 있다"고 설명했다.

이어 "수사기관은 우리를 결코 찾을 수 없기 때문에 우리를 겁주고 없애고 싶을 것"이라며 "우리는 데이터 유출을 지속할 것"이라고 경고했다.

새로 개설된 다크웹에는 데이터가 탈취된 피해 기업의 목록과 더불어 이들이 몸값을 지불해야 하는 기한이 표기됐다.

록빗이 서비스형 랜섬웨어(RaaS)를 제공한다는 점에서 향후 피해는 더 커질 것으로 예상된다. 이는 개발 역량이 없는 공격자 및 집단에 랜섬웨어를 서비스 형태로 제공해 주는 것이다. 사이버 공격이 하나의 상품으로 유통돼 범죄 생태계가 조성될 수 있다.

SK쉴더스 주도 랜섬웨어 대응 민간 협의체 카라(KARA)에 따르면 록빗·로열·블랙캣 등 랜섬웨어 상위그룹 모두 RaaS 형태의 고도화된 공격을 진행 중이다. 산업별로는 제조·서비스·유통 등 업계가 큰 피해를 입 것으로 조사됐다.

ⓒ News1 DB

legomaster@news1.kr