S2W, 전 세계 사이버보안 위해 최대 랜섬웨어 조직 ‘록빗’ 공격 분석 발표

일본 후쿠오카에서 열린 ‘FIRST 2024’에 연사로 초청, 양희성 연구원이 분석 내용 공개

[보안뉴스 김영명 기자] 데이터 인텔리전스 기업 S2W(대표 서상덕)는 6월 10일 일본 후쿠오카에서 개최된 침해사고 대응-예방 콘퍼런스 ‘FIRST 2024’에서 세계 최대 랜섬웨어 운영조직 록빗(LockBit)의 공격 수법에 대해 공개했다.

▲S2W 로고[로고=S2W]

FIRST(Forum of Incident Response and Security Teams)는 1990년에 설립된 국제 비영리협회로 컴퓨터 보안 및 사고 대응팀, 제품 보안 및 사고 대응팀, 공공, 민간 및 학계의 독립 보안 연구자 등 100개 이상의 국가, 600개 이상의 팀으로 구성됐다. 올해 36회째 개최되는 FIRST의 콘퍼런스는 정보 보안 분야에서 명성 있는 행사로 자리매김했다.

스피커로 참여한 S2W 양희성 위협인텔리전스 센터 연구원은 ‘Dissecting the Arsenal of the LockBit Group’이라는 주제로 콘퍼런스에서 세계 최대 랜섬웨어 조직 록빗(LockBit) 그룹의 공격수법을 분석한 내용을 공개했다.

록빗은 서비스형 랜섬웨어(Ramsomware-as-a-Service, RaaS) 형태로 조직을 운영한다. 이들은 블랙매터(BlackMatter) 랜섬웨어, 콘티(Conti) 랜섬웨어 코드 등 다수의 제휴사를 고용해 마치 기업처럼 활동한다. 2023년을 기준으로 전체 4,189명의 랜섬웨어 피해자 중 1,118명이 록빗의 피해를 입었다. 이는 다른 어떤 랜섬웨어 그룹보다 큰 피해를 초래한 수치다.

록빗은 영국 국가보건서비스(NHS)를 공격해 마비시킨 혐의를 받고 있으며, 미국 보잉사(Boeing)를 공격해 내부 자료를 온라인에 공개하기도 했다. 영국 국가범죄수사청(NCA)을 포함한 10개국의 수사기관은 올해 2월 록빗을 대상으로 무력화 작전을 진행했다. 수사기관들의 공조로 록빗은 공격 인프라에 큰 피해를 입었으나 4일이 지난 시점부터 부활했다고 밝혀졌다.

한편 S2W의 위협 인텔리전스 센터 ‘탈론(Talon)’은 세계적으로 인정받는 보안전문가들로 구성된 사이버보안 분석 그룹이다. 인터폴 등 글로벌 수사기관과 랜섬웨어 검거 관련 협업한 경험이 있으며 2023년에 이어 2년 연속 FIRST 콘퍼런스의 스피커로 초대됐다. S2W는 자체 사이버보안 솔루션 퀘이사(QUAXAR)에 탈론의 인텔리전스를 적용하며, 기업 및 공공기관에 해당 솔루션을 공급하고 있다.
[김영명 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)