Home > 전체기사

콘티 랜섬웨어, 두 달 전 사라졌지만 위협은 여전히 존재하고 있어

  |  입력 : 2022-07-20 14:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
두 번의 정보 유출 사건을 겪은 콘티 랜섬웨어 갱단이 아직도 여전한 위협으로서 남아 있다는 연구 결과가 나왔다. 공격자들은 뭉쳐서 움직이지만 않을 뿐, 여전히 콘티의 옛 전략과 기술로 피해자들을 만드는 중이라고 한다. 게다가 조만간 다시 나타날 가능성도 낮지 않다.

[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 단체인 콘티(Conti)가 운영을 중단한 지 2개월이 지났다. 하지만 콘티의 기존 멤버들까지 활동을 멈춘 건 아니다. 이들은 다른 랜섬웨어 갱단과 함께, 혹은 독자적으로 움직이면서 여러 가지 사이버 공격 행위를 저지르는 중이다. 콘티라는 이름으로 같이 움직이는 건 아니지만, 개별 멤버들은 여전히 일반 기업과 기관들에 위협으로 남아 있다고 보안 업체 인텔471(Intel 471)이 설명하는 이유다.

[이미지 = utoimage]


“콘티가 해체한 가장 큰 이유는 콘티라는 브랜드 자체를 사람들의 머릿속에서 지워내기 위한 것으로 보인다”고 인텔471은 설명한다. 워낙 활동량이 많았고, 따라서 사법 기관과 수사 기관의 주목을 받았기 때문에 당분간 숨죽여 살기 위한 방편이었을 뿐이라는 것이다. 그래서 인텔471은 “수사 기관의 관심이 어느 정도 식기 시작하면 지금 흩어져 있는 멤버들이 다시 뭉쳐서 또 다른 조직 활동을 시작할 것”이라고 예상하고 있다.

인텔471의 첩보 국장인 브래드 크롬턴(Brad Crompton)은 “이러한 범죄 조직과 조직원들의 생리를 이해해야 효과적인 방어가 가능하다”고 설명한다. “공식적으로 보면 콘티는 사라진 조직이죠. 하지만 실제로는 콘티를 구성하던 각 멤버들이 여전히 콘티의 전략과 기술을 사용해 여기저기서 다른 사이버 갱단의 이름으로 활동을 이어가고 있습니다. 콘티라는 이름만 없어졌을 뿐 콘티의 전략과 기술, 위협 행위는 그대로 남아 있다고 볼 수 있습니다. 즉 콘티가 해체했다는 소식으로는 방어에 그 어떤 도움이 되지 않는다는 겁니다.”

가장 파괴적인 랜섬웨어 갱단
콘티 갱단은 보안 업계 내에서 가장 파괴적인 랜섬웨어 단체로 알려져 있다. 주로 러시아인들로 구성된 이 갱단은 2020년 처음 모습을 드러냈고, 다양한 침투 전술을 활용해 여러 조직들을 괴롭혀 왔다. 때론 스피어피싱으로, 때론 크리덴셜을 훔쳐서, 때론 소프트웨어 취약점을 익스플로잇 한 후 랜섬웨어를 심어 피해자들로부터 돈을 뜯어냈다.

FBI는 지난 1월까지 콘티가 1억 5천만 달러의 수익을 거뒀을 것이라고 보고 있다. 피해 조직의 수는 전 세계적으로 1천을 거뜬히 넘는다고 알려져 있다. 단기간 내에 엄청난 성과(즉, 피해)를 거두니, 자연스럽게 수사망에 오르게 되었다. 미국 재무부는 지난 5월 콘티 갱단의 멤버들을 식별하거나 위치를 파악하는 데 도움을 주는 사람에게 1천만 달러의 상금을 주겠다고 발표했다. 여기에 미 국무부도 500만 달러의 상금을 걸었다. 콘티로서는 사방에 적이 생긴 것이나 다름이 없었다.

콘티 내부 사정 일부 유출
5월에는 콘티에 소속된 한 우크라이나인 구성원이 콘티 내부 문서를 대량으로 공개했다. 콘티가 공식적으로 러시아 정부를 지지한다고 발표한 직후였다. 2021년 9월에도 콘티 내부 문서가 일부 공개된 적이 있었다. 이 두 가지 정보를 모두 합쳤을 때 콘티라는 조직이 정식 기업과 매우 비슷한 구조로 작동한다는 사실이 드러났다. 정식 사무실도 있고, 출퇴근 시간도 정해져 있었으며, 인사, 코딩, 실험, 정보 수집 등 부서별로 다양한 기능을 수행하기도 했었다.

FBI, NSA, CISA는 이러한 문서 분석이 나오기 전부터 콘티의 개발자들이 RaaS(서비스형 랜섬웨어, 대여형 랜섬웨어)라는 형태로 사업을 이뤄가고 있다고 분석했었다. 다만 콘티는 다른 서비스형 랜섬웨어처럼 파트너들과 수입의 일정 비율을 나눠서 갖지 않았다. 자신들의 랜섬웨어를 사용하는 파트너들에게 고정된 비용을 책정해 제공했다. 하나 흥미로운 건, 이들이 노리는 표적이 러시아 정부가 노릴 법한 조직들이라는 것이다. 이 때문에 콘티와 러시아의 보안국(FSB) 사이에 일종의 연결 고리가 있을 수 있다는 의혹이 나오기도 했다.

재결합을 할 것인가? 이름을 바꿀 것인가?
5월 중순 콘티의 개발자들은 갑자기 공격 인프라를 하나 둘 차단하기 시작했다. 관리자 패널이 사라지고, 서버가 줄어들고, 프록시 호스트가 자취를 감췄다. 채팅방도, 협상 채널도, 각종 사이트들도 오프라인으로 변했다. 여러 사법 기관들이 앞장서서 콘티 수사를 시작했기 때문인 것으로 보였다. 그러더니 피해자들의 정보를 공개하기 위해 마련된 사이트마저 사라졌다. 누가 봐도 서둘러 사업을 접는 듯한 모습이었다. 하지만 첩보 분석 업체인 어드빈텔(AdvIntel)은 당시 “이미 주력 멤버들은 계속해서 활동을 이어갈 준비를 마친 상태”라고 분석했었다. 

콘티가 사라지기 한 달 전부터 갑자기 활동을 시작한 블랙바스타(Black Basta)라는 랜섬웨어 갱단의 경우 나타나자마자 랜섬웨어 운영에 있어 매우 능숙한 모습을 보여준 바 있고, 이 때문에 콘티의 또 다른 이름이라는 의심을 받고 있다. 인텔471이 분석했을 때 지불 시스템이나 데이터 유출 사이트, 복구를 위한 포털, 통신 방법 등이 콘티의 그것과 상당히 흡사하다는 결과를 얻었다고도 밝혔다.

인텔471은 그 외에도 콘티와 비슷한 방식으로 운영되는 랜섬웨어를 두 개 더 발견했다. 하나의 이름은 블랙바이트(BlackByte)이고 다른 하나의 이름은 카라커트(Karakurt)다. 인텔471은 이 두 가지 모두 콘티가 새롭게 런칭한 브랜드라고 보고 있다. 

콘티의 파트너들과 기존 멤버들이 다른 랜섬웨어 팀들과 협력 체계를 이룬 듯한 정황도 발견되고 있다. 이들은 콘티 해체 후 류크(Ryuk), 메이즈(Maze), 록빗(LockBit) 2.0, 블랙캣(BlackCat), 하이브(Hive), 헬로키티(HelloKitty) 등과 접촉한 것으로 보인다. 그러나 이는 100% 확실한 건 아니다. 콘티 랜섬웨어의 소스코드가 한 번 유출된 적이 있었고, 많은 랜섬웨어 단체들이 이 소스코드를 가져다가 도입했을 가능성도 존재한다.

3줄 요약
1. 두 달 전 사라진 콘티, 정말 사라졌을까?
2. 일부 신규 랜섬웨어에서 콘티의 익숙한 모습들이 나타나고 있음.
3. 일부 멤버들이 다른 랜섬웨어 공격자들과 손을 잡고 움직이는 것으로도 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)