130만원에 암호화폐 탈취 프로그램 파는 해커들

기사등록 2024/11/10 09:30:00 최종수정 2024/11/10 10:00:16

SK쉴더스 화이트해커 그룹 EQST, 랜섬웨어 연구보고서 공개

랜섬웨어 뿐 아니라 암호화폐·시스템 정보 탈취 도구도 판매

사이버 공격 위험 날로 커져…기본적인 보안 수칙 준수 해야


[서울=뉴시스]

[서울=뉴시스]송혜리 기자 = 최근 해킹 조직들이 랜섬웨어뿐 아니라 암호화폐와 시스템 정보를 탈취할 수 있는 도구까지 저렴한 가격에 판매되고 있는 것으로 드러났다.
 
'사이버폴크'(CyberVolk)로 알려진 해킹 조직은 정보 탈취 도구를 1000 달러(약 130만원)에 판매 중이다. 이 도구는 암호화폐 지갑·시스템 정보까지 광범위하게 탈취할 수 있어 다방면으로 악용될 가능성이 높다. 특히 이 도구는 소스코드 형태로 제공되고 있어 다른 해킹 조직이나 범죄자들도 손쉽게 입수해 악성 행위를 벌일 위험이 크다.

전문가들은 개인 정보·금융 정보 유출을 비롯해 네트워크 마비, 데이터 손상과 같은 2차 피해까지도 발생할 수 있다고 경고하고 있다.

◆소프트웨어 정보는 물론 암호화폐 지갑 정보까지 털어가는 소스코드 판매 

SK쉴더스 보안 전문가 그룹 이큐스트(EQST)가 발표한 연구보고서에 따르면 해커 그룹 사이버폴크는 금전 탈취 목적으로 공격 방식을 확대하며 새로운 활동을 벌이고 있다.

사이버폴크는 원래 '글로리아미스트 인디아(GLORIAMIST INDIA)'라는 이름으로 활동하던 해커 조직으로, 주로 정치적 목적의 디도스(DDoS, 분산 서비스 거부) 공격을 벌여왔다. 그러다 지난 6월 사이버폴크로 이름을 바꾸고, 랜섬웨어와 정보 탈취 도구를 판매하는 등 공격 방식을 확장해 본격적인 금전 탈취 활동에 나섰다.

사이버폴크는 올해 7월부터 텔레그램에서 랜섬웨어 판매를 시작했으며, 현재는 더 복잡한 양자 저항 알고리즘을 적용한 업그레이드 버전을 제공하고 있다. 이 최신 랜섬웨어는 복구가 어렵고, 잘못된 복구 키 입력 시 파일이 손상될 가능성이 크다.

실제로 사이버폴크 랜섬웨어가 감염된 PC는 배경화면이 변경되고, 사용자에게 금전을 요구하는 팝업 창이 뜬다. 금액을 지불하지 않으면 일정 시간이 지나면서 모든 파일이 암호화되고, 이를 복구하려면 정해진 키를 입력해야 한다. 키 입력이 잘못되면 파일이 영구적으로 손상되기 때문에 피해자에게는 큰 압박이 될 수밖에 없다.

사이버폴크가 최근 주력하고 있는 도구 중 하나는 정보 탈취 프로그램인 '사이버폴크 스틸러(Stealer)V1'이다. 사이버폴크가 1000달러, 약 130만원에 판매하고 있는 이 프로그램은 주로 스팀, 디스코드 등 소프트웨어 정보, 웹 브라우저 데이터, 암호 화폐 지갑 정보는 물론 시스템 정보까지 탈취할 수 있다.

◆9월 전세계 랜섬웨어 496건…락빗 그룹 국내 대기업도 공격

한편 SK쉴더스는 이번 보고서를 통해 지난 9월 전세계 랜섬웨어 피해 사례가 8월 464건에 비해 약 13% 감소한 406건을 기록했다고 공개했다. 소폭 감소했지만, 9월에도 여전히 국내 피해 사례가 다수 확인됐다.

특히, 국내 모 대기업이 락빗(LockBit) 랜섬웨어 공격을 받아 공장 가동이 중단되는 심각한 피해를 입었다. 해커들은 제조사의 재무제표, 계산서 등의 샘플 데이터를 다크웹에 공개하며 추가 금전을 요구했고 10월에는 전체 데이터를 공개하겠다고 협박했다.

해킹 조직 인텔브로커(IntelBroker)는 한 해킹 포럼에 국내 바이오테크 스타트업 기업 데이터를 올렸다. 공개된 데이터는 운영자(Admin) 페이지 코드와 각종 서버·데이터베이스 코드가 포함돼 있었다.

SK쉴더스는 "랜섬웨어·정보 탈취 공격을 예방하기 위해 의심스러운 이메일과 파일은 열지 않는 것이 중요하며, 중요한 파일은 정기적으로 외부 저장소에 백업해 둬야 한다"고 강조했다. 아울러 "첨부파일을 내려받더라도 실행되지 않도록 안티바이러스 등의 솔루션을 사용하거나 가상 환경에서 메일에 위협 요소가 있는지 사전 탐색하고 차단하는 솔루션 등을 이용해 위협을 막을 수 있다"고 설명했다.


◎공감언론 뉴시스 chewoo@newsis.com