디지털 시대 사이버 로빈후드? '몸값' 대신 자선단체 기부 요구하는 랜섬웨어
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
'2023년 판 홍길동'이 등장한 것인가, 이런 생각이 들게 하는 이 글귀는 올 상반기에 전 세계적으로 맹위를 떨친 해킹그룹 말라스가 피해자들에게 전달한 랜섬 노트다.
말라스그룹은 지난 5월 전세계 20만명 이상이 사용하는 기업용 이메일 솔루션 짐브라의 취약점을 악용해 단기간에 171개 기업의 네트워크에 침투하고, 피해자 명단을 공개했다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
171개 기업에 랜섬웨어 피해 입혀놓고 "자선단체에 기부하라"종용
보안 전문가 "의적처럼 보이나, 기부 후 복구해 줄 것이라 믿어선 안돼"
【서울=뉴시스】송혜리 기자 =
"기업과 경제적 불평등을 싫어한다, 몸값을 자선 단체 기부하라"
'2023년 판 홍길동'이 등장한 것인가, 이런 생각이 들게 하는 이 글귀는 올 상반기에 전 세계적으로 맹위를 떨친 해킹그룹 말라스가 피해자들에게 전달한 랜섬 노트다.
말라스그룹은 지난 5월 전세계 20만명 이상이 사용하는 기업용 이메일 솔루션 짐브라의 취약점을 악용해 단기간에 171개 기업의 네트워크에 침투하고, 피해자 명단을 공개했다. 특히, 이들은 기업의 주요 정보와 자산을 해킹으로 절취해 암호화폐나 이와 유사한 추적 불가능한 방법으로 일명 '몸값'을 요구하는 것이 아닌, 비영리자선단체에 기부를 요구했다.
사뭇 의적처럼 보이는 협박이지만, 보안 업계는 기부를 하면 시스템을 복구시켜 줄 것이라고 믿어선 안된다고 주의를 당부했다.
171개 기업 네트워크 탈취하고 "경제적 불평등 싫으니 기부하라"
이번 보고서에선 단기간에 171개 기업에 피해를 입힌 말라스 그룹을 조명했다. 5월에 발견된 말라스 그룹은 이메일·협업 소프트웨어 짐브라(Zimbra Collaboration Suite)의 취약점(CVE-2022-24682)을 악용해 단기간에 171개의 기업의 네트워크에 침투하고, 해당 피해 기업의 명단을 다크웹에 게시했다. 짐브라는 이메일, 캘린더, 파일 공유 등 원격 협업에 필요한 많은 기능을 제공하는 도구 모음이다. 오픈소스이기 때문에 널리 사용되고 있고, 또 이 때문에 짐브라에 대한 사이버 공격자들의 관심도 높은 편이다.
이호석 SK쉴더스 EQST랩장(담당)은 "말라스 그룹의 대규모 공격이 가능했던 이유는, 발견된 지 오래된 취약점으로 보안 관심도가 떨어지지만 기업에서 사용도가 높은 솔루션을 초기 침투 타깃으로 삼아 공격을 수행했기 때문"이라며 "이를 통해 해당 솔루션을 사용하는 다양한 기업에 침투 가능하며 짧은 시간 안에 큰 피해를 입힐 수 있다"고 설명했다.
말라스 그룹은 절취한 정보로 피해 기업들을 협박한 것은 기존 랜섬웨어 그룹과 다를 바 없었으나, 일반적인 금전 갈취 방식과는 다르게 비영리자선단체에 기부를 요구했다. 이들은 보통 암호 해독 키 또는 정상 작업 복구를 대가로 몸값을 지불하는 방법에 대한 지침을 전달하는 랜섬 노트를 통해 '기업과 경제적 불평등을 싫어한다'며 자선단체 기부를 요구하는 내용을 전달했다.
의적 행세하지만 기부하면 시스템·정보 복구해 줄 것이라 믿어선 안돼
지난해엔 거리의 어려운 사람들에게 새 옷과 담요를 제공할 것, 13세 이하의 5명의 불우한 아이들에게 도미노, 피자헛, KFC에 데려가 음식을 사줄 것, 가장 가까운 병원을 방문해 긴급 진료를 받으러 온 사람들 중 돈이 없는 사람에게 돈을 기부할 것 등을 요구한 굿윌(Goodwill) 랜섬웨어도 발견됐다.
말라스 그룹 발견 직전인 지난해 10월엔 2만달러(약 2500만원)를 자선단체에 기부하고 증명서를 게시한 다크사이드(Darksid)그룹도 있었다.
그러나 보안 업계선 이는 단순 파괴, 암호 화폐 요구와는 사뭇 다른 의적처럼 보이는 협박이지만 실제 기부 후 정상적으로 복구될 것이라고 확신해선 안된다고 경고했다.
한 보안 전문가는 "앞서 다크사이드 랜섬웨어 그룹의 경우 실제 기부증을 공개하기는 했으나, 타인에게 피해를 입힌 결과물일 뿐"이라고 설명했다. 아울러 "말라스 그룹의 경우 지난 5월에 발견됐기 때문에 아직은 이들의 해킹 목적을 판단하긴 이르다"면서도 "그렇다고 이들의 요구를 순순히 따라 주는 것 또한 경계해야 한다"고 설명했다.
한편, KARA와 SK쉴더스는 급변하는 랜섬웨어 공격에 대비하기 위해 각 단계별 보안 요소·프로세스를 마련할 것을 강조했다. 기업이 보유하고 있는 네트워크 및 인프라, 자산 등에 대한 관리가 구조화돼야 하며 침해사고 발생 시 대응 프로세스가 제대로 작동하는 지 점검해야 한다고 밝혔다. 또한 랜섬웨어 공격이 고도화되고 있는 만큼 랜섬웨어 특화 보안 솔루션 구축과 컨설팅 도입 등을 주문했다.
☞공감언론 뉴시스 chewoo@newsis.com
Copyright © 뉴시스. 무단전재 및 재배포 금지.
- 김혜경 벌금형 선고에…이재명 "아쉽다" 민주 "검찰 비뚤어진 잣대"
- '마약 투약 의혹' 김나정 누구? 아나운서 출신 미스맥심 우승자
- "김병만 전처, 사망보험 20개 들어…수익자도 본인과 입양딸" 뒤늦게 확인
- "패도 돼?"…여대 학생회에 댓글 단 주짓수 선수 결국 사과
- [단독]'김건희 친분' 명예훼손 소송 배우 이영애, 법원 화해 권고 거부
- "월급 갖다주며 평생 모은 4억, 주식으로 날린 아내…이혼해야 할까요"
- 배우 송재림, 오늘 발인…'해품달'·'우결' 남기고 영면
- 이시언 "박나래 만취해 상의 탈의…배꼽까지 보여"
- '살해, 시신 훼손·유기' 軍장교, 38세 양광준…머그샷 공개
- '성폭행범' 고영욱, 이상민 저격 "내 명의로 대출받고 연장 안돼서…"