2024년 7월 딥웹 & 다크웹 동향보고서
알림
2024년 7월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.
주요 이슈
1) Ransomware
(1) Brain Cipher
Brain Cipher는 2024년 6월 중순에 등장한 신생 랜섬웨어 갱단으로, Tor 네트워크 상에 DLS (Dedicated Leak Site)를 운영하며 LockBit 3.0 빌더 기반의 변형 랜섬웨어를 사용했다고 알려졌다.
이 갱단의 공격이 처음 알려진 사건은 2024년 6월 20일 인도네시아 국립 국가데이터센터를 대상으로 이루어졌으며, 200개 이상의 정부 기관에 영향을 미쳤다. 이 갱단은 대량의 데이터를 암호화하고 유출 후 위협하는 전략을 구사했지만, 예상과 달리 복호화 도구를 무료로 제공하는 등 예측 불가능한 행동을 보였다. 그들은 자신들의 공격을 “보안 테스트”로 정당화하려 했으며, 정치적 동기를 부인하는 동시에 산업 자금 조달과 전문 인력 채용의 중요성을 강조했다.
Brain Cipher는 독특한 커뮤니케이션 전략도 구사했는데, 공격 후 두 번에 걸쳐 DLS에 자신들의 성명서와 FAQ 형식의 성명서를 발표하고 공격의 정당성과 정부 비판, 대중 여론 조작, 언론 불신 조장 등 정부와 언론에 대해 회의적인 태도를 취하도록 했다. 이는 갱단 자신들의 행동에 도덕적 정당성을 부여하려 했으며, 대중과 정부의 반응을 조작하려는 의도를 드러냈다.
갱단은 비즈니스적 면모도 보였는데, 그들의 DLS에 고가의 유료 광고 공간을 제공하고 암호화폐 기부를 요청하는 등의 행동을 보였다. 그러나 그들은 이번 인도네시아 데이터센터 공격 후 무료 복호화 도구 제공이 예외적인 경우임을 강조하며, 향후 공격에서는 이러한 관용을 기대하지 말라는 메시지를 전달했다. 또한 정부 기관이 복호화를 끝내면 유출한 데이터를 모두 삭제할 것이라고 밝혔다.
[그림1] Brain Cipher DLS에 게시된 인도네시아 국가 데이터센터
보안 전문가들은 일반적으로 랜섬웨어 공격자들의 약속을 신뢰하지 않는다. 이미 불법 행위를 저지른 범죄 조직의 말을 믿을 만한 근거가 없다. 더욱이 공격자들은 이미 데이터를 복사했을 가능성이 높아 ‘영구 삭제’라는 약속이 의미 없을 수 있다. 또한 한 번 취약점이 노출된 시스템은 재공격의 위험에 여전히 노출되어 있다. 랜섬웨어 공격의 주요 목적이 금전적 이득임을 고려할 때, 데이터를 삭제하는 것은 공격자들의 이익에 반하므로 약속을 지키지 않을 가능성이 높다고 분석된다.
Brain Cipher의 출현과 행동은 사이버 보안 커뮤니티에 새로운 위협으로 인식되고 있으며, 그들의 복잡한 동기와 전략, 예측 불가능한 행동 패턴에 대한 지속적인 모니터링이 필요할 것으로 보인다.
더불어 Brain Cipher 갱단의 ‘데이터 삭제’ 약속은 법적 책임을 회피하기 위한 갱단의 전략일 수도 있다. 결론적으로 보안 전문가들은 이러한 약속에 의존하기보다는 강력한 백업 시스템 구축, 보안 취약점 개선, 위협 인텔리전스를 활용한 다크웹 모니터링, 보안 제품 사용, 직원 교육 등 종합적인 보안 대책을 수립하는 것이 중요하다고 조언한다.
(2) Hunters International
Hunters International은 2023년 10월 처음 알려졌다. 이 갱단이 사용하는 랜섬웨어 코드가 2023년 1월 법 집행 기관에 의해 와해된 Hive 랜섬웨어와 약 60% 정도 일치한다는 보안 커뮤니티 내 의견이 있었다. 이에 대해 갱단은 자신들이 운영하는 DLS(Dedicated Leak Sites)를 통해 Hive 갱단으로부터 소스 코드를 구매하여 사용했기 때문이라고 밝히며, Hive와는 관련이 없다고 주장하였다. 이들의 주장을 근거로, Hunters International이 Hive 랜섬웨어 그룹과 유사한 지역에서 활동하고 있을 가능성이 제기되고 있다. 랜섬웨어 제작에는 다른 플랫폼으로의 이식성이 좋은 Rust 언어가 사용되고 있다. Hunters는 피해자의 데이터를 유출한 후 암호화하며 몸값을 요구하는 이중 갈취 전술을 사용한다. 주로 미국, 영국, 독일, 나미비아의 기업 및 조직을 대상으로 하며, 병원 등을 포함한 다양한 산업 분야를 공격 대상으로 삼고 있다.
Hunters International의 주된 특징 중 하나는 탈취한 데이터를 여러 카테고리로 분류하여 순차적으로 공개하는 점이다. 이들은 일반적으로 8~15개의 카테고리로 데이터를 나누어 시간 간격을 두고 하나씩 공개한다. 피해 기업과의 협상이 이루어지지 않을 경우, 최종적으로 모든 데이터를 공개하는 방식을 취한다. 각 데이터는 갱단의 DLS(Dedicated Leak Sites)에 공개 순서에 따라 게시되며, 다음 차례로 공개될 데이터에는 타이머가 표시된다. 그 이후에 공개될 데이터들은 ‘upcoming’으로 표시되어 향후 공개 예정임을 나타낸다. 각 데이터에는 샘플 스크린샷이 첨부되어 있으며, 데이터가 실제로 공개되는 시점에는 샘플 스크린샷의 원본과 전체 데이터 파일을 열람할 수 있게 된다. 이 갱단의 특징적인 점은, 첫 번째 데이터가 공개된 후 피해 기업과 협상에 성공하면 이후의 데이터는 공개하지 않으며, 이미 공개된 데이터도 모두 삭제해준다는 것이다. 이러한 체계적이고 단계적인 공개 전략은 피해 기업에 대한 압박을 극대화하고 협상에 응하도록 유도하려는 의도로 보인다.
Hunters는 지난 4월 일본의 광학 및 의료 기술 분야 글로벌 기업을 침해했다. 이후 DLS에 피해 기업에 대한 게시를 하지 않았던 갱단은 7월 16일 돌연히 해당 기업을 피해자로 게시했으며, 이후 시간을 두고 유출한 모든 데이터를 공개했다.
[그림2] Hunters International DLS에 게시된 피해 기업
