랜섬웨어 조직 록빗, 버그바운티에다 로고 타투하면 금전 제공까지 문화 조성 의도
REvil의 공급망 공격 ‘Kaseya 해킹 사고’…알려진 것만 60여개 이상, 카피캣 조직 기승
라자루스, 북한으로 대변되는 해킹그룹…최근 블록체인 분야 ‘Ronin Network’ 공격도 배후인 듯
최고의 화이트 해커로는 ‘EQUATION GROUP’, ‘케빈 미트닉’, ‘피터 자트코’ 선정

■ 방송 : 보안뉴스TV(bnTV) 21화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요? 보안뉴스 권준 편집국장입니다. 그동안 잘 지내셨죠?

■ 곽경주 이사 네. 안녕하세요. S2W 곽경주입니다.

□ 권준 국장 저희가 지난 시간에는 ‘최악의 보안 해킹 사고’에 대해 다뤄봤는데요, 이번에는 조직이나 인물에 초점을 맞춰보려고 해요. 그래서 최악의 ‘블랙 해커’나 ‘조직’ TOP 3, 그다음에 보안 쪽으로 큰 도움을 줬던 최고의 화이트 해커 뽑아보려고 하거든요? 먼저 최악의 블랙 해커 3위부터 한번 뽑아주신다면 어떻게 될까요?

[최악의 블랙 해커 1, 록빗(LockBit)]
■ 곽경주 이사 일단 말씀드리는 부분은 이게, 3위, 2위, 1위의 의미가 없을 수 있어요. 그래서 오늘 말씀드리는 것은 등수를 나누지 말고 ‘다 위험한 놈들이다’고 생각하고 들으시면 될 것 같습니다.

처음으로 말씀드릴 해커는 ‘록빗(LockBit)’입니다. 록빗의 경우에는 혜성처럼 등장했죠. 좋지 않은 인물에 ‘혜성’이라는 표현을 쓰면 안 될 것 같은데 갑자기 등장했어요. 지금 가장 많은 피해 기업을 양산하고 있는 그룹 중에 하나입니다. 록빗은, 저희가 ‘OPSEC’이라고도 부르는, 신원을 은닉하는 그런 기법을 많이 쓰는 조직이기도 하고요. 아직 꼬리가 안 잡히고 있는 것을 보니 내부적으로 보안 유지를 잘하는 그룹인 것 같습니다.

록빗 해킹그룹은 본인들이 사용하는 해킹의 취약점을 찾기 위해 버그바운티(BugBounty)를 진행하기도 합니다. 랜섬웨어는 암호화를 시켜야 되는데, 암호화의 취약점을 깨거나 홈페이지의 취약점을 찾으면 일정 부분의 포상금을 주면서 안전한 인프라를 갖추기 위해 끊임없이 개선하고 있습니다. 최근에는 이 해킹그룹의 로고를 타투한 사진을 보내주면 1,000달러를 준다고 홍보를 하는 게 알려졌습니다. 이를 본 사람들은 처음에는 “이거 또 신용사기(스캠) 아냐? 이상한 소리 하고 있네”라고 반응하면서도 몇 명이 인증샷을 올렸어요.

▲[곽경주의 다크웹 인사이드] 21화 시작 화면[이미지=보안뉴스]

□ 권준 국장 실제로 돈을 받았다고요?

■ 곽경주 이사 네, 실제로 돈을 받았습니다. 그러니까 “어!? 거짓말 아니네?” 그래서 이게 뭔가 약간 문화를 만들어 가는듯한 느낌? 이게 참 희한하죠? 범죄 조직이 문화를 만들어간다는 것 자체가 특이하고, 본인들 자체도 능력이 있겠지만 파트너사들과 적절한 관계를 맺고 운영하는 것을 꽤 잘 하고 있어요. 이를 통해 몸집도 크게 불려나가고 있고요. 그런 의미에서 록빗은 최악의 해커(조직)라고 볼 수 있습니다.

□ 권준 국장 그렇다면, 아직 이들의 정체라든지, 러시아를 기반으로 한다든지, 조직원들의 국적 같은 것도 전혀 파악된 게 없는 건가요?

■ 곽경주 이사 그런 것들이 제대로 파악되지 않았습니다. 따라서 주의해야 할 필요가 있습니다.

□ 권준 국장 알겠습니다.

[최악의 블랙 해커 2, 레빌(REvil)]
□ 권준 국장 또 다른 최악의 조직이나 해커는 무엇이 있을까요?

■ 곽경주 이사 두 번째로 조직은 ‘REvil’을 소개하고 싶네요. REvil은 결론만 말씀드리면 일단은 수사기관에 의해 테이크다운(Takedown)이 됐어요. 그럼에도 이들이 했던 공격 중에 뒤에 있는 카피캣(Copycat)들을 만들어 내는데 크게 일조했던 사건이 ‘Kaseya 해킹 사고’였거든요. ‘Kaseya 사태’는 네트워크 관리 솔루션을 만드는 Kaseya에서 벌어진 사건입니다. Keseya가 만든 솔루션의 취약점을 이용해 악성 파일을 올렸는데 해당 솔루션을 사용하는 회사에서는 정상적인 파일을 받는다고 생각했지만 사실은 악성코드였던 거죠. 이런 공급망 공격의 피해가 실질적으로는 60여개 기업에 피해를 줬다고는 하는데 들여다보면 훨씬 더 많은 공격이 있었을 수도 있습니다.

또 다른 사례는 스위스의 슈퍼마켓 체인인 ‘쿠프(Coop)’이라는 곳이 있어요. 여기는 해킹으로 인해 이틀 동안 800여개의 매장이 문을 닫았어요. 그 정도로 파급력이 있었던 공격이었고요. REvil도 해킹 실력이 꽤나 뛰어난 공격 그룹 중에 하나였습니다.

□ 권준 국장 REvil을 따라하는 조직들이 많이 생기면서 그런 카피캣들에 대한 영향력이 컸다라는 점에서 아마 이사님께서 뽑아주신 것 같은데요.

■ 곽경주 이사 지금 여기까지 말씀드리면서 떠오르는 그룹 하나가 순위 안에 넣지는 않았는데 지금의 랜섬웨어 비즈니스의 초기 모델을 만든 ‘Maze’라고 하는 그룹이 있어요. 이 친구들은 한 1~2년 정도 활동하고 다크웹 포럼에다가 “저희는 이제 은퇴합니다~”라고 말하고 사라졌는데 잘 살고 있는 것 같습니다.

[최악의 블랙 해커 3, 라자루스(Lazarus)]
□ 권준 국장 마지막 한 곳은 어디인가요?

■ 곽경주 이사 아무래도 ‘라자루스’죠. 북한으로 대변되는 해킹 그룹이고 2013년도에 있었던 3·20 사이버 테러부터 시작해서 ‘SONY Pictures Entertainment’라는 영화사를 공격하기도 했습니다. 이 그룹은 2013년에 ‘라자루스’라는 이름을 지으며 계속 활동을 이어가고 있는데요. 최근에는 블록체인 분야 ‘Ronin Network’의 공격도 라자루스가 했다고 이야기를 하고 있습니다.

이 실체가 북한이라 한다면 굉장히 큰 공격을 많이 했고, 방글라데시 중앙은행을 해킹해서 몇천 억원 어치의 자금을 탈취한다는 등 금전적인 이득도 많이 취했습니다. 그래서 이들은 우리나라나 미국에게도 가장 위험한 해킹그룹이라고 할 수 있습니다.

[최고의 화이트 해커 1, EQUATION GROUP]
□ 권준 국장 이제 그러면 좋은 쪽으로 가보죠. 화이트 해커들의 활약도 있었을 것 같아요. 이사님이 생각하시는 화이트 해커 TOP 3 가운데 첫 번째를 뽑으신다면요?

■ 곽경주 이사 첫 번째는 ‘EQUATION GROUP’입니다. 사실 저희끼리는 이 그룹이 ‘NSA(National Security Agency, 미국 국가안보국)’라고 생각합니다. NSA는 외교적으로 적대적인 나라에 대한 정찰 활동을 계속 하고 있거든요. NSA는 사이버상에서도 꾸준히 정찰활동을 하고 해킹 뿐만 아니라 암호를 만들거나 또는 몇해 전에는 ‘Ghidra’라고 불리는 분석 도구도 만들기도 했습니다. 그래서 ‘NSA에 속해 있는 사람이다’ 라면 굉장히 똑똑한 사람이라는 것을 알 수 있죠.

이들이 운영하고 있는 공격 그룹이 제가 봤을 때는 ‘EQUATION GROUP’이라고 생각합니다. 이들이 이란의 핵 개발 계획을 저지했다는 이야기도 있고요. 근데 이들의 공격 도구가 ‘Shadow Brokers’라고 하는 그룹에 의해 외부로 노출이 됐어요. 그 도구가 굉장히 좋은 기능이 많이 있거든요. 그것을 범죄 쪽이나 다른 국가의 정보기관 등에서 습득해서 해킹 씬(Scene)에 많은 영향을 미쳤었던 그룹 중에 하나입니다.

□ 권준 국장 EQUATION GROUP이 또 국익을 위해서는 나쁜 해킹을 할 수도 있다는 이야기인가요?

■ 곽경주 이사 아, 그렇죠.

□ 권준 국장 그런 쪽으로 보면 양면성이 있다고 봐야겠네요.

■ 곽경주 이사 저도 이들을 화이트 해커로 꼽으면서도 약간 애매한 부분이 있었어요. 나쁜 짓을 하는 그룹인지 착한 행동을 하는 그룹인지 애매한 그레이(Grey) 영역에 있는 그룹이라고 보시면 될 것 같아요. 누군가에게는 화이트 해커고 누군가에게는 블랙일 수 있는 거죠.

□ 권준 국장 그렇죠.

[최고의 화이트 해커 2, 케빈 미트닉(KEVIN MITNICK)]
□ 권준 국장 또 다른 그룹이 있나요?

■ 곽경주 이사 두 번째는 이제 인물입니다. ‘케빈 미트닉(KEVIN MITNICK)’을 빼놓을 수 없죠. 케빈 미트닉 이야기를 꺼내면 “아~ 아재(?)다!” (웃음)

□ 권준 국장 저도 들어봤습니다. (웃음)

■ 곽경주 이사 저희 분야에서는 케빈 미트닉도 해킹 씬에 많은 패러다임을 만들어 내신 분이죠. 처음에는 범죄자였어서 수감되기도 했었고요. 출소 이후 현재는 보안업체 CEO로 활동을 하고 있는데 예전에 ‘Condor’라고 해서 그런 별명으로 알려져 있습니다. 이 분은 고등학교 때부터 학내 시스템 침입해 성적을 변조한다든가 아니면 1992년도에 모토로라(MOTOROLA)를 해킹하고, 썬 마이크로시스템즈(Sun Microsystems) 등의 회사를 해킹해 소프트웨어 훔쳐내는 행위들을 하기도 했어요.

나중에는 펜타콘(Pentagon)까지 해킹합니다. 미국의 유명한 상징적인 펜타곤 해킹을 통해 사람들에게 존재를 확실히 각인시켰는데 FBI한테 쫓기며 3년 동안 도망자 신세가 됐어요. FBI의 영구범죄자 리스트에 오른 최초의 해커입니다. 현재는 개과천선해서 회사의 CEO로 활동하면서 잘 살고 있습니다.

□ 권준 국장 이제는 방어 쪽으로 보면, 블랙 해커를 막는 그런 역할을 많이 하고 계신 거죠?

■ 곽경주 이사 네 그렇죠. 이제는 나쁜 사람 아닙니다. (웃음)

[최고의 화이트 해커 3, 피터 자트코(PEITER ZATKO)]
□ 권준 국장 마지막 한 분을 소개해 주시죠.

■ 곽경주 이사 마지막 한 분은 생소하실 수 있는데 ‘피터 자트코(PEITER ZATKO)’라는 이름의 인물인데, 머지(Mudge)라는 닉네임으로 알려져 있는 분입니다. 이분은…

□ 권준 국장 트위터의 전 CISO인가요?

■ 곽경주 이사 아, 네. 맞아요! 트위터의 전 CISO였었고 나중에 해고됐죠. 해고된 이후 지금은 소송 중인데요. 이분은 ‘해커(HACKER)라는 단어가 미국 내에서 ’긍정적으로‘ 처음으로 사용되게 만든 사람이에요.

‘L0pht’ 라는 해커 그룹을 이끌었던 사람인데 1998년도에 미국 상원에서 “30분 안에 인터넷 전체를 마비시킬 수 있다”라는 증언을 했었거든요. 그렇게 공언했는데, 실제로 그 말이 맞았고, 시연도 했었습니다. 이분은 그 이후 미국의 국방성 산하 ‘고등연구 계획국(DARPA)’, ‘국방성’ 이런 곳에 들어가서 보안에 대한 메커니즘을 설계하고 보안 패러다임을 바꾸는 작업을 많이 했었던 분이고요.

이분의 특이한 이력으로는 버클리 음대를 나왔습니다. 음대 출신이에요. 공학도 출신이 아니라 음대 출신인데 이분의 업적 중에 하나가 지금 해킹 공격 중에 ‘Buffer Overflow’라는 것 있잖아요? Buffer Overflow라는 공격 기법을 최초로 논문화했던 분이에요. 그러고 나서 ‘Code injection’, ‘Race condition’, ‘부채널 공격’ 등에 대한 취약점에 대해 대중에게 공개하고 교육하는 등 굉장히 많은 역할을 하셨던 분이고요.

그 이후 트위터에서 일했는데, 올해 1월에 해고됐죠. 해고된 이후 지난 8월에 트위터에 고소장을 제출했는데 ‘트위터가 보안을 제대로 안하고 있다’ 그리고 우크라이나 사태가 발발하기 몇 달 전에 ‘(트위터가) 러시아에 협조하려고 했었던 정황도 있다’는 말을 했습니다. 그리고 엘론 머스크(Elon Musk)가 인수하려고 했는데, 한 번 결렬됐다가 결국 인수하기는 했지만요.

□ 권준 국장 근데 아마 다시 제가 알기로는 인수를 했다는 이야기도 있죠.

■ 곽경주 이사 인수했죠. 얼마 전에 싱크대 들고 출근했죠. 그때 엘론 머스크의 인수 포기 결정에 피터 자트코의 고소 기소가 한몫을 하지 않았었나 하는 얘기도 있었습니다.

□ 권준 국장 그런 활약들을 들으니까 “보안이 꽤 재미있다”, “한번 더 공부를 할 만한 분이다”라는 생각도 드네요. 알겠습니다. 오늘 재밌는 말씀 잘 들었는데. 감사합니다. 이상 마치겠습니다.

■ 곽경주 이사 감사합니다.
[권준 기자([email protected])]