2024년 9월 딥웹 & 다크웹 동향보고서

알림

 

2024년 9월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

주요 이슈
 

 

1)  Ransomware

 

 

(1) LockBit

 

2024년 9월, 한국의 주요 타이어 제조 기업이 악명 높은 랜섬웨어 갱단 LockBit의 표적이 되었다. 이 기업은 한국 타이어 산업을 대표하는 글로벌 기업으로, 전 세계 180여 개국에 제품을 수출하고 있는 대규모 제조업체이다.

 

LockBit 갱단이 운영하는 DLS (Dedicated Leak Sites)에 피해 기업명이 2024년 9월 25일 게시되면서 이 사실이 알려졌다. LockBit의 주장에 따르면, 공격 이후 약 3주가 지난 시점까지도 피해 기업의 데이터 복구 진행률은 0%인 것으로 나타났다.

 

LockBit 갱단은 피해 기업의 주요 데이터를 암호화한 것으로 보이며, 재무, 급여, 법무, 이메일, IT, 내부 채팅 등 광범위한 영역의 데이터가 유출 위험에 처해 있다고 협박하고 있다. 이는 기업의 핵심 운영 정보와 직원들의 개인정보가 모두 위험에 노출되어 있음을 시사한다. 이번 사건은 글로벌 기업도 사이버 공격에서 자유롭지 않다는 것을 다시 한번 상기시키는 계기가 되었으며, 기업의 사이버 보안 강화의 중요성을 극명하게 보여주고 있다.

 

 

[그림1] LockBit DLS에 게시된 피해 기업
 

 

2024년 2월, 영국 국가범죄수사국(NCA)이 주도한 Operation Cronos (크로노스 작전)는 LockBit에 치명적인 타격을 입혔다. 이 작전을 통해:

 

• LockBit의 다크웹 사이트가 압수되었다.
• 주요 계열사들의 신원이 파악되거나 체포되었다.
• 200개 이상의 암호화폐 계정이 동결되었다.

 

이러한 대규모 법 집행 작전은 LockBit의 운영 능력에 심각한 혼란을 초래했으며, 많은 계열사들이 갱단을 떠나는 결과를 가져왔다. 다음과 같은 활동 감소 추이 분석을 통해서 이를 확인할 수 있었다. 참고로 [그림2]와 [그림3]의 LockBit DLS 피해자 게시 건수는 집계 시기와 그 방법에 따라서 다소 차이가 발생할 수 있는 점을 미리 밝힌다.

 

[그림2] LockBit DLS 피해자 게시 건수 (2023-11 ~ 2024-06)

 

 

참고로, Cisco Talos의 사이버 위협 연구원 Azim Khodjibaev (아짐 호지바예프)는 5월의 급증에 대해 다음과 같이 평가했다:

> “이는 Operation Cronos가 LockBit에 영향을 미치지 않았다는 것을 보여주려는 거짓 시도로 보입니다. 새로운 계열사들과 LockBit 가입을 고민하는 이들을 위한 과시적 행동으로 해석됩니다.”
 

Operation Cronos는 LockBit의 운영에 지속적이고 심각한 타격을 입혔다. 그러나 LockBit은 여전히 활동을 이어가며 회복력을 보여주고 있다. 5월의 일시적 (거짓) 반등 시도에도 불구하고, 6월 이후 주요 랜섬웨어 갱단 순위에서 사라진 것은 갱단의 운영이 심각하게 위축되었음을 시사한다.

 

[그림3] LockBit DLS 피해자 게시 건수 (2023-09 vs 2024-09)