보안

갑자기 사라진 랜섬웨어 그룹 '레빌', 피해 기업은 시스템 복구 불가

Lucian Constantin  | CSO 2021.07.15
악명높은 레빌(REvil) 랜섬웨어 그룹이 운영하는 다크 웹 사이트가 7월 13일 갑자기 온라인에서 사라지면서 미국 또는 러시아 정부의 개입설이 나돌고 있다. 한편 이 그룹의 공격을 받은 피해 기업과 이들의 데이터 복구를 돕는 보안업체는 더 어려운 상황에 처하게 됐다.
 
ⓒ Getty Images Bank

몸값 협상 서비스 제공업체 그룹센스(GroupSense)의 인텔리전스 서비스 부문 부사장인 마이크 파울러는 “피해 기업은 암호화된 네트워크를 복원하는 데 필요한 해독 소프트웨어를 구할 수 없게 됐다. 그룹센스 고객 중에도 해당 사례가 있다”면서, “이들을 급습한 사법 기관이 피해 기업의 암호화 키에 상응하는 해독 키를 구하는 데 필요한 소프트웨어를 확보했기를 바랄 뿐이다. 그렇지 않다면 피해 기업이 다른 방법으로 데이터를 복구하는 것은 현실적으로 불가능하다”라고 밝혔다.


갑자기 사라진 레빌 

엠시소프트(Emsisoft), 그룹-IB(Group-IB), 그룹센스를 포함한 여러 사이버 범죄 인텔리전스 업체는 레빌의 웹사이트가 7월 13일부터 접속되지 않는 상태임을 확인했다. 여기에는 이 그룹이 대외 홍보 활동과 피해자 공개에 사용하는 웹사이트, 그리고 피해자가 몸값을 확인하고 웹 채팅 인터페이스를 통해 공격자와 대화할 수 있는 결제 사이트도 포함된다.

어떤 이유로 사이트 운영이 중단됐는지 아직 공식적으로 확인되지는 않았지만 사이버 위협 인텔리전스 업계에서는 레빌의 활동을 추적해 온 미 정부 또는 사법 기관이 움직인 것으로 보고 있다. 미국의 조 바이든 대통령은 7월 9일 러시아 블라디미르 푸틴 대통령에게 러시아에서 활동하는 랜섬웨어 그룹이 활동을 멈추지 않을 경우 미국이 조치를 취할 준비가 되어 있다고 경고했고, 그 이후에 레블의 웹 사이트가 사라졌기 때문이다.

바이든은 기자들에게 “푸틴에게 근원지가 러시아인 랜섬웨어 공격이 발생할 경우, 설령 러시아 정부의 후원을 받지 않는 공격이라 해도 미국이 그들의 정체에 관한 충분한 정보를 제공하면 러시아 측이 조치를 취할 것으로 기대한다는 점을 명확히 전했다”라고 말했다.

또한 바이든 대통령은 두 정상이 미국과 러시아 두 국가에 영향을 미치는 사이버 공격 문제에 관해 정기적인 대화를 나눌 수 있는 방안을 마련했으며 상황을 긍정적으로 본다고 덧붙였다. 사이버 공격이 발생할 경우 미국 정부가 보복 조치로 러시아에 소재한 서버를 공격할 수 있는지를 묻는 기자의 질문에 바이든 대통령은 “할 수 있다”고 대답했다.


랜섬웨어 핵심 그룹, 레빌이란  

소디노키비(Sodinokibi)라는 이름으로도 알려진 레빌은 2019년에 등장했으며 가장 활동적이고 성공적인 랜섬웨어 그룹으로 꼽힌다. 보안 연구진은 현재 레빌의 주축 세력은 갠드크랩(GandCrab) 등 예전에 악명을 떨쳤다가 사라진 다른 랜섬웨어 조직 출신인 것으로 추정했다. 

최근 발생한 대부분의 랜섬웨어 위협과 마찬가지로 레빌 역시 사이버 범죄 서비스 형태로 운영된다. 즉, 악성코드를 만든 이들과 협력사(affiliate)로 부르는 다른 집단이 함께 피해 기업 네트워크에 악성코드를 배포한다. 보도에 따르면 협력사는 지불된 몸값에서 많게는 70%까지 가져가는 것으로 알려졌다.

여러 보안업체의 보고서에 따르면, 레빌은 지난해 발생한 랜섬웨어 감염 사례 가운데 가장 많이 등장한 이름이지만, 레빌의 협력사 가운데 하나가 카세야(Kaseya)의 시스템 관리 및 모니터링 도구의 제로데이 취약점을 악용한 이후 지난 주부터 미디어의 집중적인 관심을 받기 시작했다. 이 공급망 공격으로 해당 도구를 사용하는 전 세계 30개 이상의 MSP(Managed Service Providers), 그리고 MSP에 시스템 관리를 맡긴 1,000개 이상의 기업이 침해됐다. 지난 6월에는 세계 최대의 육류 가공 기업 가운데 하나인 JBS의 미국 자회사에 대한 공격에도 레빌 랜섬웨어가 사용됐다.

이와 같은 초대형 랜섬웨어 사고에 앞서 지난 5월에는 연료 수송 기업인 콜로니얼 파이프라인(Colonial Pipeline)의 네트워크가 다크사이드(DarkSide)라는 또 다른 랜섬웨어에 감염되어 미국 동부 해안 지역의 연료 부족 사태를 유발하기도 했다. 당시 사이버 범죄 인텔리전스 업체 플래시포인트(Flashpoint)는 다크사이드가 레빌을 기반으로 하며 레빌의 전 협력사에 의해 만들어졌을 가능성이 높다고 보고했다.

다크사이드 그룹은 콜로니얼 파이프라인 공격이 미국 정부의 집중적인 관심을 받은 데다 콜로니얼 파이프라인이 복구를 위해 몸값을 지불하는 데 사용된 암호화폐 중 일부를 FBI가 압류하는 데 성공하자 돌연 활동을 중단했다. 백악관이 러시아 정부와 랜섬웨어 대한 조치를 논의하며 구체적으로 이름이 거론된 만큼 레빌 그룹 역시 자발적으로 활동을 중단했을 가능성이 있다. 


레빌이 사라진 이유, 불확실

그러나 바이든 대통령과 푸틴 대통령의 지난 논의 이후 러시아 사법 기관 또는 미국 정부가 공격적 사이버 역량을 사용해 레빌 인프라를 타격했을 가능성도 있다.
 
엠시소프트의 위협 분석가 브렛 캘로우는 “현재로서는 중단이 일시적인지 영구적인지, 또한 사법 기관의 조치에 따른 것인지 확실치 않다. 영구적인 중단이라면 다른 방법으로 키를 받거나 확보하지 못할 경우 피해 기업 입장에서는 몸값을 주는 선택지가 사라지므로 문제가 될 수 있다”라고 말했다

그룹센서의 파울러는 레빌 웹사이트가 복구되지 않을 것으로 생각하지만 레빌 플랫폼의 주 세력이 실제로 체포되지 않는다면 다른 기존 랜섬웨어 조직으로 옮기거나 새로운 조직을 만들 수 있다면서 “레빌과 같은 랜섬웨어 그룹은 ‘히드라’와 같은 습성이 있다. 머리 하나를 잘라내도 금방 새로운 머리 두 개가 자라난다”라고 덧붙였다. eiditor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.