2024년 12월 딥웹 & 다크웹 동향보고서

알림

2024년 12월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

주요 이슈
 

 

1)  Ransomware

 

 

(1) RansomHub
 

 

RansomHub는 2024년 2월부터 활동이 포착된 랜섬웨어 갱단으로, 2024년 말로 갈수록 공격 빈도를 높이며 존재감을 드러냈다. 특히 12월에는 한국의 주요 제조 기업들을 연이어 공격하며 높은 수준의 공격 역량을 과시했다. 갱단은 단순한 시스템 암호화를 넘어 데이터 탈취에 중점을 둔 표적 공격 형태로 진화하고 있으며, 산업 기술 및 기밀 정보를 보유한 기업들을 주요 표적으로 삼았다.

 

 

• 피해 사례 분석

 

 

RansomHub 갱단은 한국의 글로벌 금속 제조 기업의 내부 네트워크에서 58GB 규모의 데이터를 탈취했다고 주장했다.  유출된 것으로 추정되는 데이터에는 재무 관련 정보, 인사 관련 정보, 세무 관련 문서, 운영 관련 자료 등 기업의 핵심 정보들이 포함되었다. 특히 구매 발주서와 같은 협력사 관련 정보가 포함되어 있어 공급망 전반에 걸친 2차 피해가 우려되는 상황이다.

 

[그림1] RansomHub DLS에 게시된 피해 기업

 

 

주목할 만한 점은 12월 초 RansomHub의 DLS에 피해자로 게시된 이후, BreachForums에서도 위협 행위자 ‘zaime’에 의해 피해기업의 데이터가 유출되었다는 점이다. BreachForums에 공개된 샘플 스크린샷이 RansomHub가 게시한 스크린샷과 동일한 것으로 확인되었으나, 유출된 데이터의 동일성 여부는 추가 확인이 필요한 상황이다. 이는 탈취된 데이터가 다크웹 상에서 더 널리 유통될 수 있다는 위험성을 시사한다.

 

 

[그림2] BreachForums에 게시된 피해 기업

 

 

 

• OO OOO 침해 사고

 

 

OO그룹의 계열사인 OO 솔루션이 2020년 12월에 인수한 미국의 고압 탱크 업체 OO OOO이 RansomHub의 공격 대상이 되었다.  이번 사고는 OO그룹 해외 계열사들에 대한 일련의 랜섬웨어 공격 중 최근 사례다. 2023년 9월 OO OO 중국 법인이 LockBit 랜섬웨어로 약 800GB의 데이터를 유출당했고, 2024년 4월에는 OO첨단소재의 미국 법인인 OO OOO이 Black Basta 랜섬웨어로 약 1TB 규모의 데이터를 유출당했다.

 

[그림3] RansomHub DLS에 게시된 피해 기업

 

 

이러한 연속적인 공격 패턴은 단순한 보안 취약점을 넘어선 복잡한 요인들이 작용했을 가능성을 시사한다. LockBit, Black Basta, RansomHub는 표면적으로는 서로 다른 갱단이지만, 다크웹 상에서 계열사들의 이동이 발생하거나 Initial Access Broker를 통해 기업의 초기 침투 정보를 거래했을 가능성이 존재한다. 특히 이전 공격에서 탈취한 네트워크 구조, VPN 접속 정보, 계열사 간 업무 협력 관계 등의 정보가 후속 공격의 초기 접근 경로로 활용되었을 것으로 추정된다.

 

 

더욱 주목할 점은 해외 계열사들의 구조적 취약성이다. 본사와의 업무 연계성으로 인해 계열사 간 네트워크 접근권한을 공유하는 경우가 많아, 한 계열사의 보안 침해가 다른 계열사로의 연쇄적인 침투로 이어질 수 있는 위험이 존재한다. 이러한 구조적 특성이 랜섬웨어 갱단들이 특정 그룹의 계열사들을 연속적으로 공격하는 동기가 되었을 것으로 분석된다.

 

 

• 공격 패턴 분석 및 시사점

 

 

갱단은 글로벌 공급망에 참여하고 있는 기업들을 주요 표적으로 삼았다. 특히 핵심 기술을 보유한 제조업체나 해외 거점을 보유한 기업들을 선호하는 경향을 보였다. 이는 피해 기업의 글로벌 경쟁력과 직결된 정보들을 노린 것으로 분석된다.