2025년 1월 딥웹 & 다크웹 동향보고서

알림
 

 

2025년 1월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, DarkWeb의 Forums 및 Market 내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

주요 이슈
 

 

1)  Ransomware

 

 

(1) CL0P
 

 

• 개요

 

 

CL0P 랜섬웨어 그룹은 지난 2024년 12월 중순, Cleo 관리형 파일 전송(MFT) 플랫폼의 취약점을 악용한 대규모 공격을 감행했다. 이번 공격으로 화학, 식품, 자동차 렌탈 등 다양한 산업 분야의 약 59개 기업이 피해를 입었다.

 

[그림1] CLOP DLS에 게시된 Cleo MFT 취약점 피해 기업 리스트 게시글

 

 

 

• 분석

 

 

공격에 사용된 취약점은 Cleo의 LexiCom, VLTrader, Harmony 제품에서 발견된 제로데이 취약점 (CVE-2024-50623) 으로, 이는 무제한 파일 업로드와 다운로드를 가능하게 하고 원격 코드 실행을 허용했다. CL0P은 이전에도 Accellion FTA, GoAnywhere MFT, MOVEit Transfer와 같은 유사 플랫폼의 제로데이 취약점을 이용해 기업 네트워크를 공격한 이력이 있다.

 

CL0P은 피해 기업들을 대상으로 48시간 내 협상에 응하지 않을 경우 기업명을 공개하겠다고 협박했다. 1월 18일에는 협상이 이루어지지 않은 기업들의 데이터를 전면 공개하겠다고 위협했으며, 1월 21일에는 기업 목록을 추가로 공개하겠다고 발표했다. 현재 CL0P은 각 피해 기업에 대한 개별 피해자 페이지를 생성한 상태다. Cleo 소프트웨어를 사용하는 기업이 4,000개 이상으로 추정되는 만큼, 실제 피해 규모는 현재 알려진 것보다 더 클 것으로 예상된다.

 

 

• 시사점

 

 

이번 CL0P의 공격은 기업용 파일 전송 플랫폼이 새로운 공격 벡터로 부상하고 있음을 보여준다. 특히 그룹이 Accellion, GoAnywhere, MOVEit에 이어 Cleo MFT를 연이어 공격한 점은 유사 시스템을 사용하는 기업들의 즉각적인 보안 강화가 필요함을 시사한다. 기업들은 파일 전송 시스템의 보안 패치를 최우선으로 적용하고, 외부 접근 가능한 주요 시스템에 대한 접근 통제를 강화해야 한다. 또한 제로데이 취약점에 대비한 다층적 방어 체계 구축과 함께, 주요 데이터에 대한 암호화 및 백업 정책을 재검토해야 한다.

 

 

(2) FunkSec

 

 

• 개요

 

 

2024년 12월 초에 등장한 FunkSec은 단기간에 85개 이상의 피해 사례를 공개하며 급부상한 랜섬웨어 그룹이다. 이들은 정부 및 기업 웹사이트 200개 이상을 침해했다고 주장하고 있으나, 일부 유출 데이터는 과거 핵티비스트 캠페인에서 재활용된 것으로 분석된다.
 

 

[그림2] FunkSec 랜섬웨어 그룹의 DLS

 

 

• 분석

 

 

FunkSec은 2024년 10월부터 활동을 시작해 12월부터 본격적인 활동에 나섰다. 활동 초기 한 달 만에 15개의 정부 웹사이트 접근 권한을 판매하는 등 공격적인 행보를 보였다.

 

그룹은 사이버 위협 커뮤니티와 인터뷰에서 멤버들은 ‘Scorpion’, ‘el farado’, ‘sentap’, ‘MRZ’ 등 4명으로 구성됐다고 주장하였다.  그러나 멤버들의 활동 분석 결과, 주요 멤버인 Scorpion은 러시아가 아닌 알제리 출신으로 추정되며, el farado는 기초적인 해킹 질문을 포럼에 올리는 등 기술적 미숙함을 드러내고 있다. 또한 그룹 내 한 멤버는 해커그룹 GhostSec의 전직 관리자이며, 그룹 소유자는 GhostSec과 함께 DarkZone 포럼을 운영한 이력이 있다. 이와 같은 근거로 보안 전문가들의 분석에 따르면, 이 그룹은 핵티비스트와 사이버 범죄의 경계에서 활동하고 있으며, 실제 금전적 이득보다는 가시성과 인지도 확보가 주된 목적일 수 있다고 평가하고 있다.