주요 다크웹 포럼 폐쇄되고, 새로운 마켓 생기고…다크웹 시장 혼돈의 시기
3CX와 금융보안 인증 소프트웨어 타깃 공급망 공격…북한 해커조직의 공격 이어져
록빗의 국세청 해킹 엄포? 해프닝으로 일단락됐지만…지속적인 모니터링 필요

■ 방송 : 보안뉴스TV(bnTV) 30화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요? 보안뉴스 권준 편집국장입니다.

■ 곽경주 이사 안녕하세요 S2W 곽경주입니다.

□ 권준 국장 최근 다크웹 시장이 사실 혼란의 시기에 접어든 것 같아요. 가장 유명한 다크웹 해킹포럼인 Breach 포럼하고 Genesis 마켓도 폐쇄되기도 했고요. 또 비슷한 시장이 계속 우후죽순 생기기도 한 것 같거든요. 명쾌하게 정리를 한번 해주시죠.

[다크웹 시장, 혼돈의 시기]
■ 곽경주 이사 작년이었나요? RAID 포럼이라고 하는 다크웹에서 가장 큰 포럼이 테이크다운 됐었죠. 그 때 이후에 유사한 포럼이 또 서너 개가 만들어졌어요. 그 중에 하나가 이제 이번에 또 테이크다운된 Breach 포럼이라는 곳인데요. 이 포럼이 셧다운되고 나서 5~6개 정도의 신규 포럼들이 만들어졌어요.

또한, Genesis 마켓이라는 곳은 유출된 계정들을 판매하는 곳이에요. 이제 인터폴이나 유로폴 등 전 세계에 수사기관에 의해서 테이크다운 된 건데 사실 Genesis 마켓 말고도 다른 마켓이 많아요. 그래서 이게 폐쇄된다고 해 가지고 범죄자들이 뭐 순식간에 사라진다거나 하는 건 아닐 거고요. 다만 이런 수사기관들의 테이크다운 시키는 시간이 점점 짧아지고 있거든요. 짧은 시간 내에 더 많은 범죄자들이 모여 있는 그런 포럼들을 테이크다운 시키고 있는데요. 이런 것들이 조금씩 조금씩 모이다 보면 좀 더 가시적인 성과가 나올 것 같고요. 사실상 끝없이 물고 물리는 상황이 계속 벌어지고 있는 거에요. 앞으로도 계속 그럴 것 같고요.

□ 권준 국장 또 수사기관에 나선다고 그러면 조금 더 그래도 해커들이나 사이버 범죄자들은 위축될 수밖에 없겠죠.

■ 곽경주 이사 위축되죠. 네, 좀 줄어들죠.

▲[곽경주의 다크웹 인사이드] 30화 시작 화면[이미지=보안뉴스]

[북한 해커조직]
□ 권준 국장 뭐, 북한 얘기는 계속 할 수밖에 없는데요. 3CX에서 공급망 핵심 사건이 발생했는데요. 이게 또 북한 라자루스 소행이라는 추정된다는 보도가 있었고요. 우리나라에서는 유명한 금융보안 인증 소프트웨어 취약점을 악용해서 북한이 해킹공격을 했다고 발표하기도 했고, 그래서 국정원하고 KISA하고도 해당 인증 솔루션에 대한 보안업데이트 권고도 했는데요. 사이버 상에서는 지금 북한이 계속 움직이고 있는데, 이와 관련된 일련의 사건들을 한번 소개를 해주신다면요.

■ 곽경주 이사 3CX부터 말씀을 드리면 이 회사는 영상회의 솔루션이라든가 기업용 통신앱을 제공하는 회사에요. 이게 매일 1,200만 명 정도 사용한다고 하는 굉장히 사용빈도가 높은 솔루션인데요. ‘라자루스’라는 북한 해킹그룹이 해당 소프트웨어 공급망을 공격해서 설치파일에 악성코드가 삽입됐다고 합니다. 이게 무슨 얘기냐면 이 공급망 자체를 오염시킨 거예요. 일단 그 공급망 부분은 신뢰도가 굉장히 높습니다. 거기서 내려오는 파일들에 대한 검증 작업을 믿고 할 수 밖에 없거든요.

□ 권준 국장 그쵸. 믿고 그냥 하게 되죠.

■ 곽경주 이사 공급망을 오염시키면 굉장히 많은 피해자가 발생할 수밖에 없어요. 그리고 우리나라에서는 인터넷 뱅킹을 할 때 프로그램을 사용하는 비중이 크다 보니 이게 좀 더 피해가 확산될 수 있는 위험성이 높고요. 그리고 원노트 이용한 악성코드 같은 경우에는 이메일에다가 첨부파일로 해서 보내게 되는데요. 해당 문서를 사용자가 다운 받고 열람을 하게 되면 큰 이미지 같은 게 있는데, 그게 이미지가 이미지가 아닌 것처럼 보이는 거죠. 사용자한테는 그냥 문서처럼 보이는 거예요. 그런데 이제 그 안에 내용을 보면 ‘이걸 더블클릭해라’라는 유도메시지가 있어요. 더블클릭을 하면 어떻게 되냐면 그 이미지 뒤에 악성 스크립트 파일이 숨겨져 있어요. 그래서 이걸 더블클릭하게 되면 그 스크립트 파일이 실행되는 거고요. 이게 실행이 되면 외부에서 추가적인 악성코드를 다운로드받은 다음에 실행시키고, 실질적인 악성행위를 하게 되는 거거든요.

이런 방식은 사실 전 세계적인 공격그룹들이 많이 사용하고 있는 방법이고, 여기에 시사점은 이런 김수키나 라자루스 등의 해킹그룹들은 최근 트렌드나 다른 범죄자들이 사용하고 있는 그런 공격 수법들을 그대로 모사해서 자기네들 공격수법으로 내재화하는 그런 게 매우 빠르다는 거죠. 그런 공격 기법들을 계속 발전시킬 거예요.

[록빗 랜섬웨어, 국세청 해킹?]
□ 권준 국장 지난 4월에 록빗 랜섬웨어 조직있잖아요. 그들이 우리나라 국세청을 해킹했다고 했는데, 4월 1일 공교롭게 만우절이었더라고요. ‘데이터를 공개하겠다’고 해서 사람들이 많이 우려도 하고 걱정을 했거든요. 사실 국세청이라는 곳에서 어떤 정보가 나올까 라는 것들 때문에 사람들이 많이 (관심을 가지고) 그랬는데요. 결국 별다른 데이터는 공개되지 않았는데요.

■ 곽경주 이사 네, 맞아요.

□ 권준 국장 록빗이라는 조직이 거짓말을 했을까? 라는 생각도 들고, 도대체 어떤 이유 때문에 공개를 안 했는지. 아니면 뭐 진짜 해킹을 하긴 한 건지도 사실 조금 의구심이 있는데요. 이사님께서는 이 사건을 어떻게 보셨는지요?

■ 곽경주 이사 처음 올라온 날 저녁 여덟시쯤이었는데, 그 시간이 됐을 때도 계속 모니터앞에 있었거든요. 데이터가 올라오나 계속 새로고침하는데 조회수가 엄청나게 올라가더라고요. 록빗이 히트를 쳤어요. 일단 흥행에는 성공했다고…

□ 권준 국장 (웃음) 흥행에는 성공했다?

■ 곽경주 이사 록빗이 자기네 사이트를 알리는데는 성공했다.

□ 권준 국장 알리는데?

■ 곽경주 이사 네. 그거는 일단 성공했다고 보고요. 근데 그것만이 목적이었냐라고 보기에는… 이미 록빗은 굉장히 유명한 그룹이라서 그걸 노리고 하지는 않았을 것 같고요.

□ 권준 국장 자기네들도 명성에 타격이 될 수도 있는 거잖아요.

■ 곽경주 이사 그쵸.

■ 곽경주 이사 그런데 이들이 보면 과거에 대만 쪽 데이터를 올리겠다고 해놓고 안 올렸던 케이스도 있긴 했어요. 이들의 내부 사정은 저도 소상히 알 길은 없습니다. 하지만 록빗의 다크웹 포럼에서의 활동을 보게 되면 이런 큰 이슈가 되는 것들에 대해서는 항상 뭔가 대응을 하거든요. 포럼에다가 “그거 뭐 장난이었어” 라든가 아니면 “파트너 범죄자들이 실수한거야”라고 한다든가 이런 글들을 올리기도 하는데요. 이번에는 일절 그런 대응이 전혀 없어요. 그래서 더 오리무중인데, 여러 가지 소문들이 있죠. ‘진짜 만우절 이벤트’라는 것도 있고, 뭐 진짜 파트너 범죄자들의 장난질일 수도 있고요. 이제는 록빗 사이트에 올리는 것 자체가 록빗만 올리진 않거든요. 그러니까 보증금 천만원 정도 내면 누구나 올릴 수 있고 그런 상황이 되다 보니 이런 좀 관리가 되지 않는 그런 것들도 올라오지 않나 싶습니다.

□ 권준 국장 국세청에서는 자기네들이 ‘해킹당한 적이 없다’라고 사실 부인은 했었잖아요?

■ 곽경주 이사 사실 거기가 해킹을 당했으면 이미 어느 정도 업계에 소문이 조금 났을 가능성이 높거든요. 그런데 그런 것도 전혀 없어서 실제 아니었을 수도 있고, 처음에 올리려고 했다가 최종적으로 데이터를 검증을 해보니 국세청이 아니었을 수도 있고요.

□ 권준 국장 그나마 그게 아니었다는 걸로 저희는 조금 더 희망을 가져보고 데이터가 악용된다면 사실 심각한 얘기이기 때문에 그런 부분에서 일단은 저희도 계속 주목을 해봐야겠습니다.

■ 곽경주 이사 네. 심각한 일이죠. 그게 유출되면…

[한달 간의 다크웹 이슈]
□ 권준 국장 또 여러가지 일들이 많았는데요. 활동이 좀 많았던 조직이라든가 이슈, 국가, 업권별로 마지막으로 한번 정리해 주신다면?

■ 곽경주 이사 3월 한달 간 387개의 기업이 피해 기업이 됐고요. 제일 많은 피해 기업을 양산한 랜섬웨어 그룹은 당연히 ‘록빗’이고요. 예년만큼 200~300개씩 록빗이 하진 않지만, 100개 정도는 록빗이 피해기업을 만들었고요. 그 다음으로 이어지는 게 ‘클롭’이에요. 클롭은 우리나라에서도 한번 이슈가 크게 된 적이 있었는데, 클롭이 98개 정도로 굉장히 왕성해 졌어요.

□ 권준 국장 진짜 그러네요.

■ 곽경주 이사 Goanywhere라는 파일을 공유하고 변환해주는 서비스가 있는데 거기에 취약점이 있어요, 해당 취약점을 이용해서 랜섬웨어를 뿌리지는 않고, 정보만 탈취해 나가는 그런 케이스들이 많이 식별되기도 했습니다.

피해 국가들을 보게 되면 미국이 가장 많고요. 그 다음에 영국, 캐나다, 인도, 프랑스 순으로 있다고 보시면 될 것 같고요. 업권 같은 경우에는 제조업, 리테일, 비즈니스 서비스 분야로 과거와 비슷합니다.

□ 권준 국장 대동소이하군요.

■ 곽경주 이사 그래서 3월에는 클롭의 활동이 두드러졌다고 볼 수 있습니다.

□ 권준 국장 주목할 만한 포인트네요. 이번에도 이슈들도 많고 사건들이 많았는데, 일목요연하게 정리해 주셔서 시청하시는 우리 구독자분들이 많은 도움을 받으실 것 같습니다. 수고 많으셨습니다.

■ 곽경주 이사 감사합니다.
[권준 기자([email protected])]