하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

레빌 랜섬웨어의 부활? 도무지 죽지 않는 사이버 갱단들
등록일 :
2022.05.04
러시아 경찰이 체포했다고 주장한 레빌 랜섬웨어가 되살아났다. 물론 아직 예전의 강력함은 되찾지 못했다. 그럼에도 찝찝한 건 사실이다. 사이버 범죄자들은 어떻게 해야 씨를 말릴 수 있는 걸까.

[보안뉴스 문가용 기자] 사라진 줄 알았던 레빌(REvil) 그룹이 부활했다는 증거들이 나오기 시작했다. 하지만 보안 업계는 되살아난 레빌이 이전 레빌 만큼 강력할 것인지에 대해서는 아직 확신하지 못하고 있다.

[이미지 = utoimage]


4월 29일, 안티멀웨어 업체인 어베스트(Avast)는 레빌 그룹의 이전 멤버들만이 접근할 수 있었던 정보를 통해 생성된 랜섬웨어 샘플을 차단했음을 발표했다. 그보다 일주일 전에는 사이버 보안 업체 엠시소프트(Emsisoft)가 레빌 갱단의 정보 유출용 사이트가 새로운 사이트로 우회 접속되기 시작했다고 경고한 바 있다. 그 새 사이트의 운영자들도 레빌의 이름을 쓰고 있었고, 이미 미국의 대학 한 곳과 인도의 석유 회사 한 곳의 정보가 올라와 있었다.

이 두 가지 정보를 바탕으로 레빌 그룹이 살아났다는 추측들이 나오기 시작했다. 아니라면 적어도 누군가 레빌의 운영자들이 사용하던 비밀 인프라에 도구들에 접근하는 데 성공한 것이라고 볼 수 있다. 엠시소프트의 위협 분석가인 브렛 캘로우(Brett Callow)는 후자의 가능성에 더 무게를 싣는 편이다. “예전 운영자들이 돌아왔다고 보기에는 아직 증거가 모자랍니다. 다만 한두 명이 다시 일을 시작했을 수는 있습니다.”

어느 쪽이든 결국 사이버 갱단을 완전히 없앤다는 게 얼마나 어려운지가 다시 한 번 입증되었다. 레빌은 2021년 거대 식품 처리 회사인 JBS와 IT 관리 업체인 카세야(Kaseya)를 공격하면서 집중 수사의 대상이 되었고, 그 결과 수개월 동안 잠적했었다. 그러다가 다시 작년 9월에 나타났으나 올해 1월 러시아 경찰이 14명의 레빌 멤버들을 체포했다고 발표하면서 사라졌었다.

레빌이라는 단체는 사이버 범죄 시장에서 자취를 감췄지만 일부 멤버들은 계속해서 활동을 이어갔다. 뿔뿔이 흩어져 다른 갱단에 가입해 활약했다. 그런 멤버들 중 일부가, 아니면 여태까지 모습을 감췄던 누군가가 레빌의 부활을 시도하는 것으로 보인다는 게 캘로우의 생각이다. 그렇다면 과연 여기에 가담하고 있는 자들이 누구이며 얼마나 되는지가 궁금해질 수밖에 없다. 

“레빌이라는 이름이 불러일으키는 두려움이 있습니다만, 아직 우리는 확신할 수 없습니다. 정말 지금의 레빌이 옛날처럼 무시무시한 레빌인지 아닌지 말이죠. 사실 지금 랜섬웨어 산업은 하나의 거대한 시장입니다. 여러 범죄 단체가 독자적으로 움직이는 게 아니라 상호 협조적으로 활동하죠. 그런데 사법 기관의 추적을 받아 문을 얼마 간 닫은 적이 있다? 이건 파트너 간 신뢰를 크게 하락시키는 요인이 됩니다. 그렇기에 예전 브랜드를 되살린다는 건 사업적으로 그리 현명한 결정이 아닐 수 있습니다.”

얼마 전 어베스트의 보안 조사원인 자쿱 크로우스텍(Jakub Kroustek)은 트위터에 멀웨어의 스크린샷들을 올렸다. 해당 멀웨어에 아무런 암호화 기능이 없다는 것을 보여주기 위함이었다. “어베스트의 고객 컴퓨터에서 실제로 발견한 멀웨어였습니다. 이는 공격자들이 실험의 목적을 가지고 심은 것으로 보고 있습니다. 멀웨어 자체가 아직 실험 단계에 있는 것으로 보이기도 하고요. 하지만 경보를 울리기에는 충분할 정도로 규격이 갖춰진 멀웨어이기도 하지요.” 

그러면서 크로우스텍은 해당 멀웨어가 레빌 랜섬웨어 원본을 바탕으로 만들어진 것이라고 주장했다. “오리지널 레빌 랜섬웨어의 기능들을 강화하기 위한 코드들이 발견됩니다. 아직 대단히 위험해 보이지는 않습니다만 누군가 레빌을 되살리려 한다는 사실만으로도 충분히 긴장되기는 합니다. 조만간 레빌의 이름을 건 랜섬웨어 활동이 시작될 것으로 보입니다.”

사이버 공격자들은 여러 개의 목숨이 있는 것처럼 되살아나곤 한다. 지난 4월 초, 블랙캣(Black Cat)이라는 사이버 범죄 조직은 펜더(FENDR)라는 공격 도구를 사용하기 시작했다. 이 펜더는 블랙매터(BlackMatter)라는 또 다른 사이버 갱단이 전용으로 사용하던 도구였다. 블랙매터는 진작에 해체된 그룹이었다. 이 때문에 블랙매터가 살아났다는 이야기가 나돌기 시작했다.

지난 11월에는 이모텟(Emotet)이라는 유명 봇넷이 10개월 동안 죽었다가 살아나기도 했다. 이모텟의 경우 국제 경찰 조직과 기술 기업들의 공조로 일망타진 되었던 조직이었다. 업계와 경찰은 이 큰 성과를 자축했지만, 지금은 다시 이모텟의 활동을 추적하는 입장이 되었다.

캘로우는 “랜섬웨어를 비롯해 여러 사이버 범죄 행위는 대단히 짧은 기간에 큰 수익을 남긴다”며 “그냥 사라지기에는 유혹이 너무 크다”고 말한다. “큰 돈을 비교적 쉽게 벌어본 사람들이 다른 일을 시작하기는 힘들죠. 그렇기 때문에 범죄자들은 어떤 고난과 역경도 극복하고 다시 살아나 나쁜 짓을 시작하는 겁니다. 범죄로 인해 얻는 것이 이렇게 많다면 국제 공조로 이들을 없앤다는 게 불가능합니다.”

3줄 요약
1. 죽은 줄 알았던 레빌 랜섬웨어, 되살아난 증거들이 하나 둘 나오고 있음.
2. 물론 예전처럼 강력한 레빌은 아직까지 아닌 것으로 보임.
3. 그러나 아무리 죽여도 되살아나는 범죄 조직의 속성이 다시 한 번 드러남.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top