"조폭이야 해커야?"…몸값요구 안통하면, 개인정보 유포 '협박'

KISA 상반기 사이버 동향 분석..."조직단위 활동 활발"
가장 많은 피해 입힌 조직은 삼성·LG 공격한 랩서스
올해 첫 등장 '블랙캣'도 눈길...다크웹에 피해자 정보유포
"아무도 믿지 않는 제로트러스트 보안원칙 도입해야"

/사진제공=게티이미지뱅크

최근 글로벌 대기업에 랜섬웨어(파일을 암호화한 후 몸값을 요구하는 것) 공격에 나서는 해커집단들의 활동이 빈번한 가운데, 이들 상당수는 활동한지 1년이 채 지나지 않은 신생 그룹들로 나타났다. 이들은 랜섬웨어를 무기 삼아 데이터를 탈취하고, 협박을 통해 몸값을 요구하는 등 마치 조직폭력배와 같은 행태를 드러내고 있다.

16일 한국인터넷진흥원(KISA)은 올해 상반기 사이버보안 동향을 분석한 결과 이 같은 신생 해커조직 활동이 두드러졌다고 밝혔다. 올해 상반기 해킹 범죄를 가장 많이 저지른 집단은 랩서스(Lapsus$)다. 이들은 삼성전자와 LG전자, 엔비디아, 마이크로소프트, T모바일 등 세계 굴지의 제조기업과 소프트웨어, 통신기업을 잇따라 해킹하며 악명을 떨쳤다. 랩서스가 처음 모습을 드러낸 건 지난해 하반기부터다.

통상 해커그룹은 기업 시스템에 침투해 주요 데이터를 암호화하는 방식으로 핵심 비즈니스를 중단시키곤 한다. 반면 랩서스는 이러한 방식이 아닌, 주요 데이터를 먼저 탈취한 뒤 외부에 이를 공개한다고 협박하며 대가를 요구하는 수법을 썼다.

내부 직원이나 협력업체 관계자의 시스템 접근 크리덴셜(자격증명)을 빼내기 위해 가짜 웹사이트 접속을 유도하거나 직접 접촉해 돈을 주고 사기도 했다. 다크웹(접속하기 위해 특정 소프트웨어를 사용해야 하는 웹 콘텐츠)을 일일이 뒤져 기업 내부 시스템에 접속하기 위한 정보를 빼내는 집요함도 보였다. 수집한 직원정보를 활용, 헬프데스크에 직접 전화해 직원의 자격증명 권한을 재설정한 뒤 더 민감한 정보 접근권을 얻어내기도 했다.

━

신생조직, 스위스항공사 마비…"제로트러스트 관점 대응 필요"

━

/사진제공=게티이미지뱅크

올해 처음 등장한 신생 조직 '블랙캣(BlackCat)'의 활약도 두드러진다. 지난 1월 블랙캣은 이탈리아 패션 브랜드 몽클레르(Moncler)가 300만달러(약 35억원)를 내놓으라는 협상에 응하지 않자 몽클레르와 협력업체 직원, 고객 정보를 몽땅 뿌렸다. 2월에는 스위스 대형 항공회사 '스위스포트 인터네셔널'을 공격했다. 이후 스위스포트 인터네셔널 IT인프라 일부가 마비됐는데, 이 때문에 취리히 공항에서 일부 항공편이 지연되는 등 연쇄 피해가 발생했다. 블랙캣은 직접 만든 다크웹에 피해자 정보를 조금씩 공개하며 몸값을 요구하는 새로운 협박 수법을 썼다.

기존 유명 해커그룹들이 글로벌 기업 대신 정부 기관을 겨냥하는 양상도 눈에 띈다. 다수 그룹들이 정부기관을 배후에 두고 있는데, 최근 러시아의 우크라이나 침공이 이어지면서 '냉전'이 사이버 세계로 확대됐기 때문이다. 러시아 정부 배후 해커그룹인 '락빗2.0(Lockbit 2.0)'는 지난 5월 전투기 훈련서비스를 제공하는 캐나다의 글로벌 민간 군사훈련업체 '탑 에이시스(Top Aces)'를 공격, 방위산업 정보를 포함한 44GB 용량의 데이터를 탈취했다. 또 다른 러시아 계열 랜섬웨어 그룹 '콘티(Conti)'는 코스타리카와 페루 정부를 공격했다. 코스타리카는 재정부처 서비스 마비로 국가 비상사태까지 선포했다.

전문가들은 전 세계 생산·소비 활동이 글로벌 가치사슬로 촘촘히 연결돼있다보니 신생 해커그룹들도 약한 고리를 찾아 뚫고 들어온다고 입을 모은다. 보안기술 발전에 발맞춰 해커집단 역시 진화를 거듭하고 있다. 이재광 KISA 종합분석팀장은 "'제로 트러스트(아무도 신뢰하지 않는다는 전제의 보안모델)' 관점에서 보안원칙을 재점검해야 한다"며 "내부에서 이뤄지는 다양한 행위를 끊임없이 검증하는 노력이 필요하다"고 말했다.