랜섬웨어 범죄 집단의 아키텍처 취약점 이용, 인프라 해킹 성공
그간 탈취한 데이터 저장소, 향후 공격 내용과 수법 등 파악
“유례없는 일” 평가 속, 랜섬웨어 ‘업계’ 충격, 인수·통합 등 재편 움직임
[애플경제 이윤순 기자] 기업체 보안팀이나 보안 전문가들은 랜섬웨어 공격 등에 대비, 늘 긴장상태를 유지하고 있다. 그러나 거꾸로 일군의 보안 연구원들이 랜섬웨어 갱단을 해킹, 그 실체를 파헤친 사건이 일어나 관심을 끌고 있다.
최근 사이버보안업체 리시큐리티(Resecurity)는 악명높은 해커집단인 블랙록(BlackLock) 랜섬웨어 갱단을 해킹한 것으로 알려졌다. 그 결과 랜섬웨어 피해자와 관련 계정에 대한 광범위한 세부 정보를 입수, 공개함으로써 블랙록 갱단에게 치명적 타격을 가했다.
다크 웹 사이트 ‘DLS’ 취약점 역이용
이들 보안 연구원들이 블랙록 랜섬웨어 그룹의 ‘다크 웹’ 사이트의 취약점을 역이용, 해킹을 위한 정보를 수집해왔다. 마침내 지난해 연말게 해당 연구원들은 블랙록의 데이터 유출 사이트(DLS)에서 취약점을 발견해냈다. 이를 통해 갱단의 사이버공격 네트워크 인프라를 파악할 수 있었다. 그 결과 그간 피해자들의 데이터를 저장하는 데 사용된 특정 활동 로그나, 호스팅 제공업체, 연결된 MEGA(클라우드 저장소) 계정을 식별할 수 있었다.
애초 연구원들은 블랙록의 DLS에 성공적으로 침투함으로써 공격 행위자와 그들의 작전 방식(MO)에 대한 정보를 진작에 폭로하려고 했다. 그러나 “더 중요한 것은 계획된 공격 중 일부를 예측하고, 예방하고 알려지지 않은 피해자에게 경고를 보내 보호하는 것”이라며 좀더 신중한 방식을 택했다고 ‘클라우드 프로’에 밝혔다.
덕분에 올해 초 ‘리시큐리티’는 캐나다 사이버 보안 센터에 연락, 캐나다에 있는 블랙록이 특정 대상을 공격, 데이터를 탈취, 공개하려는 음모를 사전에 통보했다. 또 프랑스에 있는 피해자들에게도 유사한 경고를 제공할 수 있었다. 이 외에도 전자, 학계, 종교 단체, 국방, 의료, 기술, IT/MSP 공급업체 및 정부 기관을 포함한 분야에서 46명의 피해자나 기업을 식별, 통보했다.
이들은 아르헨티나, 브라질, 캐나다, 콩고, 크로아티아, 페루, 프랑스, 이탈리아, 스페인, 네덜란드, 미국, 영국, UAE 등 전 세계에 걸쳐있다.
리시큐리티는 “블랙록은 현재 알려진 것보다 훨씬 더 많은 피해자를 표적으로 삼았을 가능성이 높으며, 그 중 많은 피해자가 지금도 피해를 겪고 있을 수 있다.”고 주의를 당부했다.
앞서 연구자들은 블랙록 랜섬웨어 그룹 웹사이트의 허점을 공략, 네트워크 인프라와 관련된 ‘clearnet IP’ 주소에 액세스할 수 있었던 것으로 알려졌다. 특히 애플리케이션을 속여 특정 서버에 저장된 파일을 노출시키는 ‘로컬 파일 포함(LFI)’ 취약성을 역이용, 블랙록 구성 파일과 자격 증명을 수집할 수 있었다. 그래서 “그런 방식으로 우리가 획득한 명령 기록은 아마도 블랙록 랜섬웨어 사상 가장 큰 치명타가 될 것”이란 얘기다.
LFI 취약점 역이용, 파일 공유 ‘메가’ 침투, 수색
이에 따르면 수집된 아티팩트에는 서버를 관리하는 주요 행위자가 사용한 ‘복붙’ 자격 증명과 피해자의 데이터 게시에 대한 자세한 내역과 이력이 포함되어 있다. 또 블랙록은 그 동안 파일 공유 서비스 메가(MEGA)를 사용, 도난당한 데이터를 저장하고 전송해왔다. 이에 연구원들은 메가 폴더와 관련된 8개의 개별 이메일 주소를 식별할 수 있었다. 그 결과 “‘블랙록’이 복구할 수 없을 만큼 충분한 피해를 입혔으며, 사이버 범죄 계열사 사이에서 ‘블랙록’의 평판이 심각하게 훼손되었다”는 평가다.
본래 블랙록은 ‘엘 도라도’ 랜섬웨어 그룹에서 출발했다. 이번에 밝혀진 바에 따르면 이는 또 경쟁 랜섬웨어 그룹 ‘드래곤포스’(DragonForce)와도 적대적 공생 관계임이 드러났다. ‘드래곤포스’가 블랙록 다크 웹사이트를 하이재킹한 것으로 짐작되기도 한다. 그러나 반대로 연구원들은 “오히려 양자 간에 어떤 종류의 협력을 하거나, 아니면 ‘드래곤포스’가 블랙록을 인수하려는 시도일 수도 있다”고 본다.
이를 둔 또 다른 해석도 나오고 있다. (웹사이트 하이재킹은) ‘드래곤포스’가 블랙록의 명성을 추락시키고, 경쟁자를 제거하기 위해 DragonForce가 그룹을 부끄럽게 만들고 경쟁자를 제거하기 위해 운영을 손상시키고자 한 것 같다는 얘기도 나온다. 반면에 “이는 새로운 프로젝트로의 전환을 위한 위장 전술일 수도 있다”는 해석도 있다.
현재로선 블랙록 랜섬웨어가 ‘드래곤포스’ 랜섬웨어와 협력하기로 한 것인지, 아니면 새로운 소유주(인 드래곤포스) 하에서 조용히 전술을 전환했는지는 불분명한 상황이다. 다만 “이번 (리시큐리티의) 블랙록에 대한 해킹으로 인해 랜섬웨어 시장이 통합되고, 기존 블랙록 프로젝트와 인프라를 인수했을 가능성이 크다”는 분석이다.