세계 최대 랜섬웨어 조직 ‘록빗’의 협상전략과 문화 분석해보니

S2W 임정연 팀장, ‘LockBit 피해기업의 협상 및 비트코인 추적 사례, 타투 챌린지 분석’ 발표
록빗 측 ‘록빗 타투 챌린지’ 개최... 실제 참가자 17명은 몸에 타투 새기고 인증 올리기도

[보안뉴스 김영명 기자] 록빗(LockBit) 랜섬웨어는 2019년 9월에 처음 등장한 랜섬웨어로 국내에서 공공기관 사칭, 이력서 위장, 저작권법 위반 등 피싱 메일을 통해 악성 한글 또는 오피스 문서 등을 유포하고 있다. 록빗은 2021년 6월 록빗 2.0을, 지난해 6월에는 록빗 3.0으로 업그레이드하면서 암호화 방식 변경, 보안제품 탐지 우회 기능 등을 추가하며 고도화했다. 지난해에는 가장 활발하게 활동한 랜섬웨어로 파악되기도 했다.

[이미지=utoimage]

NetSec-KR 2023dptj 데이터 인텔리전스 기업 S2W 임정연 침해사고조사팀장은 ‘LockBit 피해기업의 협상 및 비트코인 추적 사례와 DDW 포럼(Deep&Dark Web 포럼)에서 발생한 LockBit 타투 챌린지 분석’에 대해 발표했다.

록빗 랜섬웨어의 대표적 유형인 서비스형 랜섬웨어(RaaS)의 특징은 랜섬웨어 운영자(Operator)가 피해기업 침투, 협상, 악성코드 개발 등 모든 과정을 담당하지 않고, 제휴자(파트너)를 모집해 서비스 형태로 수익 모델을 운영한다. 운영자는 랜섬웨어 악성코드를 개발하고, 운영을 담당하며, 파트너는 공격 대상 기업 침투 및 협상을 담당하는 등 역할이 철저히 분배된다는 특징이 있다.

록빗 3.0은 함께 공격에 가담할 동업자를 공개적으로 모집하며 해킹으로 인해 확보되는 수익금 중에서 20%는 운영자(록빗)가, 나머지 80%는 동업자에게 분배해 주겠다고 제안한다. 또한, 공격 대상 피해자에게는 ‘Your Files are encrypted by Lockbit’이라는 제목의 협상 페이지를 보내 ‘지금 (이 화면을 보는 사용자에게) 무엇이 일어났는지’, ‘어떻게 하면 복구가 가능한지’ 등을 상세하게 알리기도 한다.

임정연 팀장은 “록빗 랜섬웨어의 공격자와 피해자와의 협상 주요 포인트 및 자주 묻는 질문은 ‘요구한 금액을 내면 정말 복호화 키를 주고 탈취한 데이터를 삭제해 주는지’, ‘요구한 금액을 깎을 수 있는지’, ‘복호화 등 협상이 끝나기까지 얼마나 걸리는지’, ‘우리 기업에 침투한 방법을 알려주는지’ 등이 있다”고 말했다.

▲Lockbit 로고를 타투로 새긴 챌린지 참가자들의 인증 사진들[자료=S2W]

한편, 록빗 랜섬웨어는 록빗 타투 챌린지(LockBit Tattoo Challenge)를 열기도 했다. 챌린지를 주관한 록빗 측은 해당 챌린지에서 유저들의 타투 문구, 디자인에 대한 아이디어를 제시하기도 했다. 또한, 챌린지에서는 몸에 새긴 패스워드를 알아맞히는 게임을 하기도 했다.

실제로 록빗 랜섬웨어는 챌린지 참가자들에게 자신들의 로고를 몸에 새기면 1,000달러(약 132만원)를 주겠다는 제안을 하기도 했다. 록빗의 제안은 △타투가 포토샵이 아니라는 증거가 필요하기 때문에 몸에 새긴 타투를 물로 씻어내려고 하는 영상을 업로드해라 △영상을 temp.sh에 업로드하고 공개해라 △모든 사람이 트랜잭션을 볼 수 있도록 댓글에 비트코인 지갑을 공개하고, Mixer를 통해 자금을 세탁하고 현금화해라 △비영구적인, 임시 타투는 공정하지 않다 등의 4가지 요구조건을 내걸기도 했다.

이 같은 제안에 지난해 9월 8일에는 첫 타투 인증자가 등장하며 자신이 새긴 록빗 로고 사진을 업로드했다. 그 이후 타투를 새긴 유저가 비트코인을 받은 증거가 공개됐는데, 실제 1,000달러를 입금받은 비트코인 인증자가 인증 화면을 공개하기도 했다.

록빗 랜섬웨어는 이번 챌린지를 통해 서로 다른 MrWhatson, Whyspace, Bebralover라는 닉네임을 가진 유저에게 각각 1,000달러의 금액을 전달했다. 하지만 두 개의 닉네임을 사용한 한 명의 사용자가 2,000달러를 받은 것으로 추정된다.

Bebralover 유저는 지난해 6월 18일에 XSS 포럼에 가입했으며 타투를 새긴 부위는 발목 또는 팔목으로 추정된다. Bebralover 아이디를 가진 사람은 타투 게시글 외에도 주로 scam, smart contract 관련 토픽에서 활동하는 것으로 알려졌다. 또한, Whyspace는 지난해 7월 2일에 XSS 포럼에 가입했으며, 타투를 새긴 부위는 발등으로 추측했다, Whyspace는 XSS 포럼 가입 후 타투 게시글에 댓글을 작성한 이력만 존재했다.

이번 록빗 타투 챌린지는 총 18명이 참여했으며, 최종으로 17명의 유저에 각각 1,000달러씩 입금됐다. 록빗 운영자는 총 0.81242099 비트코인(한화 약 3,047만원)을 지불한 것으로 파악됐다. 참가자 18명 가운데 보상금을 받지 못한 한 참가자는 실제 타투를 몸에 새기지 않고 볼펜으로 록빗 로고를 그려 넣은 것으로 추측돼 보상 대상에서 제외됐다.

임정연 팀장은 “록빗 랜섬웨어의 국내 피해기업의 사례를 분석했을 때, 이 기업은 협상을 통해 약 20%의 금액을 할인받았다”며 “공격자에게 금액 지불 후 복호화 도구를 받았지만, 완전하게 복호화하기까지는 무려 일주일 이상의 시간이 소요됐고, 피해기업이 지불한 금액은 대부분 바이낸스 거래소로 전송된 것을 알 수 있다”고 말했다.

S2W 임정연 팀장은 마지막으로 “록빗을 포함한 랜섬웨어의 피해 사례를 분석해 보면, 망분리 등 내부보안 체계를 잘 갖춘 기업은 전체 기업 서버 중에서 감염된 서버 수가 적게 나타났고, 유출된 데이터들도 민감성이 낮았다”고 말했다. 이어 “기업에서는 아직도 대부분 취약한 VPN을 사용하고 있는데, 취약한 VPN에서는 아이디와 패스워드가 평문으로 노출될 수도 있기 때문에 더욱 강화된 보안대책을 마련하는 것이 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)