[정재원 기자] 전세계적으로 맹위를 떨치던 랜섬웨어 범죄 조직 '록빗(LockBit)'이 돌아왔다. 록빗은 국내서도 대기업 S사, H사, 국세청 등을 공격했다고 주장해 보안 당국을 긴장케 한 바 있는 세계 최대 랜섬웨어 조직이다.

이들은 '글로벌 위협 집단'으로 낙인 찍혀 지난 2월 미국연방수사국(FBI), 영국 국가범죄청(NCA), 유럽연합(EU) 유로폴 등 11개국 기관들에 의해 무력화됐다고 알려졌으나, 단 5일 만에 새로운 다크웹 접속 사이트를 공개하며 활동을 재개했다. 여러 국가 기관이 수 개월 동안 국제 공조를 진행했음에도 불구하고 록빗은 빠르게 복귀 후 새로운 유출 데이터를 업로드 중이다.

5일 만에 다크웹 사이트 복구하며…"탈취당한 건 2.5% 뿐"주장

20일 SK쉴더스 보안 전문가 그룹 EQST는 록빗이 새로운 다크웹 접속 사이트를 공개하며 활동을 재개한 정황을 포착하고 해당 조사결과를 공개했다.

2019년 처음 등장한 록빗은 지속적인 업데이트를 통해 영향력을 확대하고 있으며, 2022년 이후 가장 많은 피해를 끼친 랜섬웨어 그룹으로 성장했다.

글로벌 영향력을 행사하면서 이들은 여러 국가 기관의 수사망에 올랐다. 올해 2월 20일 국제 수사기관들이 공조한 크로노스(Cronos) 작전을 통해 록빗의 인프라 일부를 압수했고, 이들이 범죄 통로로 삼았던 다크웹 접속 사이트 등도 폐쇄됐다. 록빗 관계자들은 폴란드와 우크라이나에서 체포됐고, 공격에 사용됐던 각종 계정도 정지됐다.

이 과정에서 록빗 랜섬웨어 소스코드와 중간책의 정보, 이들이 사용하는 최신버전 랜섬웨어의 특징 등 정보가 공개됐다. 이를 확인한 수사기관들은 록빗 랜섬웨어 복호화 도구를 만들어 배포했다. 아울러 록빗이 자체적으로 개발한 정보 탈취 자동화 도구 분석 자료 등을 공개했다.

마지막으로 다크웹 접속 사이트를 폐쇄하며 록빗의 활동도 마무리되는 듯했지만, 이들은 인프라를 압수 당한 지 5일 만에 새로운 다크웹 접속 사이트를 통해 활동을 재개했다.

록빗은 백업된 서버 데이터를 통해 다크웹 접속 사이트를 복구했으며, 취약점을 개선했다. 새로운 다크웹을 통해선 크로노스 작전과 관련된 이야기를 전했다.

EQST에 따르면 이들은 "탈취 당한 복호화 키는 전체 키의 2.5%뿐이며, 발표한 계열사 정보도 실제 신원 정보를 포함하고 있지 않다"면서 "압수당한 데이터들이 아주 일부에 불과해 활동에 전혀 문제없다"고 주장했다. 아울러 이번 사건을 계기로 인프라와 운영적 측면을 더 강화할 것이라고 발표했다.

초기침투 방지 위한 보안 수칙 준수 필요…데이터 백업·암호화로 대비

EQST는 이들로부터 피해를 최소화 하기 위해선 초기 침투 방지를 위한 보안 수칙 준수가 필수라고 강조했다.

록빗은 메일의 첨부파일을 통해서 랜섬웨어 실행을 유도한다. 첨부된 파일은 악성 스크립트가 포함된 파일이거나 문서 아이콘으로 위장한 실행 파일이다. 따라서 출처가 불분명한 이메일의 첨부 파일이나 링크를 실행하지 않도록 주의하고 백신을 사용해 프로그램이나 스크립트가 실행되지 못하도록 관리해야 한다.

데이터 탈취, 백업 데이터 삭제·파일 암호화에 대해서도 대비가 필요하다. 파일 복구를 위해 정기적으로 백업을 생성해 관리해야 하며, 별도의 네트워크나 저장소에 데이터를 백업해 관리하는 '소산 백업'을 권장한다.

한편 지난 2월 랜섬웨어 공격에 따른 피해 사례는 지난 1월 299건 대비 약 40% 증가한 418건으로 나타났다. 공격자들이 연이어 체포되고 있음에도 불구하고 랜섬웨어 피해 사례는 꾸준히 증가하는 추세란 게 EQST의 분석이다.