출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=109762&kind=0

세상에는 수많은 해커들이 존재하지만 현재 시점에서 가장 큰 위협이 되는 단체는 4가지로 추릴 수 있다. 돈을 노리는 단체, 정치적인 목적을 달성하려는 단체, 자신들의 메시지를 전달하려는 단체 등으로 분류된다.

[보안뉴스 문정후 기자] 좋든 싫든 사이버 공간은 전국의 무한리필 식당만큼이나 나쁜 놈들로 가득하다. 많아도 너무 많다. 그래서 일일이 기억하기도, 대처하기도 힘들다. IT 연구 및 자문 업체 ISG의 수석 컨설턴트인 스콧 리콘(Scott Riccon)은 “공격자들을 분류하고 그들의 행위에 대응할 때 가장 먼저 기억해야 할 건 ‘동기’다”라는 의견이다. “동기에 따라 행동 패턴이 달라지기 때문”이라고 한다.

“돈을 목적으로 한 자들이 있고, 정치적인 이유로 공격을 하는 자들이 있으며, 핵티비즘으로 분류되는 행위를 하는 자들이 있습니다. 단순히 개인적인 뭔가를 충족시키기 위해 해커가 되는 사람들도 있고요. 해커들은 자기가 원하는 게 무엇인지에 따라 공격 방법이나 행동 패턴을 크게 변화시킵니다.” 

그렇기 때문에 또 중요해지는 건 ‘후원자’의 정체다. 즉 누가 뒤에서 자원을 대주고, 경찰의 수사를 막아주며, 또 다른 공격자들의 공격으로부터 보호해 주는지를 최대한 파악해야 방어의 방법이 어느 정도 모습을 드러내기 때문이다. “한 아마추어 개인의 공격을 방어하는 것과 국가 정부 기관이 지원하는 단체를 방어하는 것은 얼른 생각해도 난이도 차이가 있겠죠. 그렇다면 누가 공격을 하느냐에 따라 방어에 투자하는 자원도 달라져야 합니다.”

그러한 차원에서 현 시점 가장 집요하고 활발하며, 가장 큰 피해를 광범위하게 일으키고 다니는 해킹 단체 4개를 정리해 보면 다음과 같다.

1. 핀7(FIN7)
골드나이아가라(Gold Niagara), ITG14, 카본스파이더(Carbon Spider)라는 이름으로 불리기도 하는 핀7은 돈을 벌기 위해 사이버 범죄를 저지르는 집단이다. 2013년부터 활동을 시작한 것으로 알려져 있으며, 주로 미국의 도소매, 대형 레스토랑, 숙박업체를 겨냥하여 공격한다. 돈과 관련된 요소인 PoS 시스템이 가장 빈번한 표적이 된다.

그런데 2020년부터 핀7은 전략을 바꾸기 시작했다. 좀 더 수익이 많이 날 만한 공격들을 감행하기 시작한 것이다. 레빌(REvil) 랜섬웨어와 파트너십을 맺어 수익을 내기도 하더니 자신들만의 ‘서비스형 랜섬웨어(RaaS)’인 다크사이드(DarkSide)를 운영하기도 했다. 이 다크사이드는 2021년 미국의 콜로니얼 파이프라인(Colonial Pipeline) 사태를 일으키며 미국 정부의 집중 조명을 받은 랜섬웨어이기도 하다. 

일각에서는 이들이 카르바낙그룹(Carbanak Group)과 연관성이 있다는 주장이 나오고 있기도 하다. 핀7과 한 동안 함께 일했던 레빌의 경우, 2022년 1월 미국 정부의 강력한 요청에 의해 러시아의 수사국이 폐쇄시키면서 사라졌다. 다만 대부분의 사이버 범죄 조직이 외부의 압박을 받았을 때 해체하거나 은퇴를 선언하고서는 다른 브랜드로 활동을 시작하기 때문에 레빌의 이런 움직임을 진짜로 믿는 사람은 거의 없다. 핀7과 특정 정부 기관 사이의 커넥션은 아직까지 발견된 바 없다.

2. 코지베어(Cozy Bear)
코지베어는 APT29라고도 알려진 공격 단체로, 노벨륨(NOBELIUM), 이트륨(YTTRIUM), UNC2452라고 불리는 해킹 단체와도 어느 정도 연결되어 있다. 이 그룹들 전부 러시아의 해외 첩보 서비스국과 관련이 있다고 강하게 의심되고 있다. 즉 국가 정부 기관이 배후에 있을 가능성이 매우 높은 단체들이라는 것이다.

IT 직업 훈련 전문 업체 플러럴사이트(Pluralsight)의 보안 연구 국장인 아론 로젠문드(Aaron Rosenmund)는 “미국 선거 시스템에 대한 전국적인 불신을 심어주기 위해 민주당 전국 위원회(Democratic National Committee, DNC) 침해를 실시하기도 한 그룹이 바로 코지베어”라고 설명한다. 또한 솔라윈즈(SolarWinds)라는 대표적인 공급망 공격을 실시한 것도 코지베어로 알려져 있다.

그렇다고 코지베어가 미국에만 관심이 있는 건 아니다. 2015년 우크라이나 사회기반시설에 해킹 공격을 실시한 것도, 2017년 낫페트야(NotPetya)라는 파괴형 멀웨어를 여러 시스템들에 심은 것도 바로 코지베어다. 이런 공격들에서 볼 수 있듯 코지베어는 금전적인 이득을 취하는 것에는 큰 관심이 없다. 적국의 여론 조성과 사회 혼란 야기가 이들의 가장 큰 목적이다.

3. 록빗(LockBit) 3.0
록빗블랙(LockBit Black)이라고도 불리는 록빗 3.0은 많은 보안 전문가들이 “현 시점 가장 큰 위협이 되는 공격 단체”로 꼽는다. 도메인 이름 시스템 보호 전문 업체 DNS필터(DNSFilter)의 수석 위협 연구원인 알렉스 애플게이트(Alex Applegate)는 “2022년 초기에 잠깐 쉬다시피 한 것을 제외하고는 록빗은 언제나 왕성했다”고 설명한다. “게다가 요즘에는 현재까지 존재했던 모든 랜섬웨어 단체들보다 훨씬 더 강력하고 집요한 모습을 보여주고 있습니다. 이런 랜섬웨어 단체를 저희는 본 적이 없습니다.”

록빗이 기존 랜섬웨어 단체들에 비해서 특화된 점은 꽤나 효과적인 캠페인을 진행하여 자신들의 멀웨어를 퍼트린다는 것이다. 또한 스스로도 최고의 랜섬웨어 단체라고 인정을 받기 위해 애를 쓰는 것처럼 보이기도 한다. “이블코프(EvilCorp) 등 첫 손에 꼽힐 만한 대형 단체들과 파트너십을 소란스럽게 맺기도 하고, 심지어 최초로 버그바운티를 진행한 랜섬웨어 단체가 되기도 했죠.” 애플게이트의 설명이다.

록빗은 기본적으로 돈을 위해 움직이는 단체이다. 이중 협박 전략을 사용해 피해자를 압박하고 또 돈을 번다. 파일을 암호화도 하고, 밖으로 빼돌려 유출시키거나 판매하기도 한다는 것이다. 이 전략은 랜섬웨어 산업을 폭발적으로 성장시켰고, 록빗 역시도 이것으로 톡톡한 재미를 보고 있다. 방어를 할 때도 반드시 염두에 두어야 할 대세 전략이다.

4. 어나니머스(Anonymous)
어쩌면 보안을 잘 모르는 일반인들 사이에서 가장 유명한 해킹 단체일지 모르는 어나니머스도 유의해서 지켜봐야 할 위협이다. 어나니머스는 전혀 예측할 수가 없다는 점, 그리고 글자 그대로 바람처럼 나타났다가 바람처럼 사라진다는 측면에서 그 어떤 해킹 조직보다 압도적이다. 소문에 어나니머스의 인프라는 클릭 몇 번으로 전체가 완전히 다운될 수 있다고 하는데, 이 때문인지 어나니머스의 핵심 인원들에 대한 추적이나 체포가 성공한 사례가 없다.

어나니머스는 2000년대 초반에 처음 등장해 수년 동안 여러 조직들에 막대한 피해를 일으켰다. FBI와 CIA도 이들에게 당했고 마스터카드(Mastercard) 역시 무사하지 못했다. 학자금 대출 프로그램 전문 업체 IBR의 CFO인 카메론 툴(Cameron Toole)은 “예측이 전혀 되지 않는 단체라는 게 이들을 가장 무서운 조직으로 만든다”고 설명한다. “피해자의 네트워크에 숨어서 기다리는 것에도 일가견이 있으며, 이 때문에 추적은 더욱 힘들어집니다.”

어나니머스는 핵티비즘 단체로 분류된다. 돈을 벌기 위한 해킹 행위를 한 사례는 이제껏 없으며, 특정 국가의 지원을 받는 것으로 보이지도 않는다. 하지만 너무나 변화무쌍하기 때문에 일반적인 보안 준수 사항을 지키는 것 외에는 어나니머스에 특화된 방어전선을 꾸리기 힘들다.

글 : 존 에드워즈(John Edwards), IT 칼럼니스트