러시아 해킹 그룹 ‘REVil’ 등 ‘RaaS’ 확산…잠깐 주춤했던 해킹 다시 준동
미․러 양국 정상의 엄중한 경고에 잠깐 움츠러들었는가 싶던 러시아 랜섬웨어 마피아들이 채 한 달도 안돼 다시 준동하고 있다. 아예 최근엔 랜섬웨어 자체를 상품으로 만들어 파는 ‘RaaS’(Ransomware-as-a-Service)가 새로운 ‘시장’으로 떠오를 정도다.
4일 미국 사이버 보안 연구원에 따르면 랜섬웨어 공격으로 적어도 200개 미국 기업의 네트워크가 마비되었던 것으로 전해지고 있다.
이에 앞서 지난 달 바이든 미 대통령이 푸틴 러시아 대통령을 만나 “러시아 해킹 그룹들은 미국뿐 아니라 러시아에도 큰 해가 될 것”이라고 경고하면서 랜섬웨어 해커 그룹들이 잠깐이나마 몸을 사리기도 했다. 그러나 불과 몇 주가 지나지 않아 다시 ‘RaaS’를 널리 ‘판매’하면서 다시 미국 시장을 공격하고 나선 것이다.
현재 세계 주요 랜섬웨어 해커 그룹들은 주로 러시아에 집중되어 있다. 그 중에서도 세계에서 가장 유명한 랜섬웨어 해커 그룹이라고 할 수 있는 곳이 ‘REVi1’과 다크사이드(DarkSide)다.
‘RaaS’ 시장 역시 이들이 주도하고 있다고 해도 과언이 아니다. 특히 2019년 4월부터 활동하고 있는 REVIL은 가장 악명높은 RaaS 기업이자 해커 그룹이다.
오로지 해킹이 목적인 이 조직은 다른 해커 그룹, 즉 네트워크 마비 소프트웨어를 개발해 대상자를 감염시켜 몸값을 받는 조직 중에서도 가장 비싼 값을 부르는 곳에 RaaS를 판매하고 있다. 즉 해커 그룹들이 랜섬웨어를 활성화하기 전, 공격 대상자의 데이터를 빼돌려 갈취를 하는 조직이다.
이번에 200개 미국 기업들에 대한 공격 역시 그 배후에는 “러시아어를 구사하는 대형 신디케이트가 있는 것으로 보인다.”고 미 ABC방송은 전했다. 여기서 ‘대형 신디케이트’는 역시 REVil일 가능성이 크다는게 보안 전문가들의 견해다.
REVil은 그 과정에서 ‘카세야’라는 미국의 소프트웨어 공급업체를 ‘숙주’로 활용한 것으로 추측되고 있다. 카세야는 자체 네트워크 관리 패키지를 클라우드 서비스 제공업체들을 통해 고객들에게 전달하고 있다.
해커 그룹 REVil은 카세야가 이용하는 클라우드와, 네트워크 관리 패키지를 바이러스 공급의 통로로 활용한 것으로 추정되고 있다.
더욱 심각한 것은 카세야는 전 세계의 소기업과 대기업을 두루 고객으로 두고 있다는 사실이다. 200개 기업들이 이번에 랜섬웨어 공격에 노출되었던 것도 그런 현실이 작용하고 있다는 설명이다.
특히 ‘RaaS’로 상품화된 랜섬웨어는 여느 바이러스와는 달리 일종의 ‘서비스’ 상품 개념으로 일반에게 널리 확산되고 있으며, 그것이 접속하는 소프트웨어에 침투하여 자동으로 업데이트될 때 악성코드를 퍼뜨리게 되는 것이다.
이들 미국기업들이 얼마나 많은 피해를 입었는지 확인되지 않고 있다. 그러나 ‘케세야’ 거래처들을 비롯해 다들 사이트가 마비되어 사태가 해결될 때까지는 많은 피해를 입을 것으로 예상되고 있다. 이에 ‘케세야’측은 급히 거래처들에게 서버를 셧다운 시킬 것을 당부했다.
비록 이번에 이들 미국 기업들의 피해는 아직 확실하지 않은 상태이지만, 작년의 경우 랜섬웨어 그룹에 지급된 평균 몸값은 미화 50만 달러였던 것으로 나타났다. 그 배후에는 역시 ‘RaaS’ 상품을 적극 판매하고 있는 러시아의 대형 랜섬웨어 조직인 ‘레빌(REVil) 갱단’이 있다는 지적이다.
이처럼 랜섬웨어 자체를 상품으로 만들어 파는 기업형 조직이 극성을 부리면서 지구촌 사이버 공격은 일종의 ‘시장’을 형성하면서 새로운 국면으로 접어들고 있는 추세다.
한편 국내에서도 유명 웹사이트의 주소를 잘못 입력할 경우 접속되는 사이트로 ‘RaaS’와 유사한 랜섬웨어 유포 사례가 최근 발견되었다. 안랩에 따르면 공격자는 유명 포털과 소셜미디어 사이트의 주소를 잘못 입력하는 사용자를 노려 ‘wwwnaver.com’, ‘facebook.cm’ 등 정상 주소와 매우 유사한 주소로 웹사이트를 만들었다.
만약 사용자가 실수로 해당 주소로 접속하면 공격자가 미리 만들어둔 웹사이트로 이동한다.
이 웹사이트는 아무 내용도 없는 백지 상태로, 사용자 PC 내 IE(인터넷 익스플로러) 브라우저의 최신 보안패치 여부와 윈도우 버전 등 공격자가 설정한 랜섬웨어 감염 조건 확인만 진행된다.
만약 사용자 PC가 감염이 가능한 환경일 경우 여러 차례 자동 리다이렉션(재이동)을 거쳐 매그니베르(Magniber) 랜섬웨어를 감염시키는 웹사이트로 최종적으로 이동한다.
이후 사용자는 별다른 행위를 하지 않아도 매그니베르 랜섬웨어에 자동으로 감염되기 때문에 각별한 주의가 필요하다는 당부다.