국내 굴지 타이어 제조회사 공격 주장…보안당국 "현재는 상당부분 복구돼"
다양한 유형의 민감 정보 암호화…볼모로 금전 요구·정보 유출 위협
출처가 불분명한 이메일의 첨부파일이나 링크를 실행시 주의 기울여야
[서울=뉴시스]송혜리 기자 = 올 초 수사당국의 대대적인 소탕 이후 움추려 들었던 세계 최대 랜섬웨어 조직 락빗(LockBit)이 본격적인 활동 재개에 나선 모습이다. 이번에는 국내 대기업을 노렸다.
락빗은 최근 국내 굴지의 타이어 제조기업의 시스템을 해킹한 뒤 유출한 데이터를 인질 삼아 금전적 요구 또는 데이터 유출 협박을 벌인 것으로 알려졌다. 다행히 피해를 당한 기업의 시스템은 대부분 복구된 것으로 알려졌다.
보안 업계는 "이번 사건은 국내 대기업들이 여전히 사이버 공격에서 자유롭지 않다는 것을 다시 한번 상기시키는 계기가 됐다"며 "기업의 사이버 보안 강화의 중요성을 극명하게 보여주고 있다"고 설명했다.
◆글로벌 공조로 무력화시켰는데도 5일만에 활동재개…'락빗'은 누구
락빗은 사이버 보안 업계에서 악명이 높은 랜섬웨어 조직 중 하나다. 2019년 처음 등장한 락빗은 지속적인 공격 기법 업데이트를 통해 영향력을 확대했으며, 2022년 이후 가장 많은 피해를 끼친 랜섬웨어 그룹으로 성장했다.
락빗은 피싱 공격, 원격 데스크톱 프로토콜(RDP) 취약점, 소프트웨어 취약점 등을 이용해 기업의 네트워크에 침투한다. 이후 파일을 암호화하고, 이를 풀기 위한 복호화 키를 제공하는 대가로 비트코인과 같은 암호화폐로 몸값을 요구한다. 또 피해자가 몸값 지불을 거부할 경우, 데이터를 공개하겠다고 협박해 추가적인 압박을 가한다.
락빗은 주로 기업과 기관을 대상으로 한 랜섬웨어 공격을 통해 금전적 이득을 노린다. 이들은 2021년에 글로벌 IT 컨설팅·서비스 기업 액센츄어의 내부 시스템에 침투해 6테라바이트(TB) 이상의 데이터를 탈취했다고 주장했다. 2022년엔 프랑스의 CHSF병원을 공격, 시스템을 교란시켰다. 이 때문에 환자 치료에 필요한 시스템이 작동하지 않아 응급 환자 치료와 예약에 큰 차질이 빚어졌다.
지난해엔 일본 나고야 항구가 락빗의 공격을 받아 컨테이너 운영이 중단됐다. 나고야 항구는 일본 무역의 10%를 담당하는 중요 시설이다. 또 영국의 대표적인 우편 서비스 기업인 로열 메일도 이 조직의 공격을 받아 해외 발송 업무가 일시적으로 중단됐다.
락빗은 국내서도 대기업 S사, H사와 국세청을 공격했다고 주장해 보안 당국을 긴장케 한 바 있다.
이들은 '글로벌 위협 집단'으로 낙인 찍혀, 올해 2월 미국연방수사국(FBI), 영국 국가범죄청(NCA), 유럽연합(EU) 유로폴 등 11개국 기관들에 의해 일제 소탕된 것으로 알려졌다.
그러나 단 5일 만에 새로운 다크웹 접속 사이트를 공개하며 활동을 재개했다. 여러 국가 기관이 수 개월 동안 국제 공조를 진행했음에도 불구하고 락빗은 빠르게 복귀 후 새로운 유출 데이터를 업로드 중이다.
◆피싱메일 주의해야…정기적인 데이터 백업 권장
락빗은 주로 이메일 첨부 파일을 통해 실행되도록 유도하는 방식으로 공격을 시도한다. 첨부 파일은 악성 스크립트를 포함한 파일이거나 문서 아이콘으로 위장한 실행 파일일 수 있다.
이에 따라 출처가 불분명한 이메일의 첨부 파일이나 링크를 절대 실행하지 말아야 하며, 백신 프로그램을 통해 악성 프로그램이나 스크립트가 실행되지 않도록 철저히 관리하는 것이 중요하다.
또 락빗의 주요 초기 접근 수단인 피싱 이메일을 막기 위해 피싱 훈련을 실시하고, 다중 인증(MFA) 등의 보안 조치를 강화하는 것이 필요하다.
아울러 데이터 탈취, 백업 데이터 삭제 및 파일 암호화 등의 피해에 대비하기 위해 정기적인 데이터 백업을 권장한다. 파일 복구를 위해서는 정기적으로 백업을 생성해 별도의 네트워크나 저장소에 데이터를 관리하는 '소산 백업' 방법을 활용하는 것이 효과적이다.
◎공감언론 뉴시스 chewoo@newsis.com