Offcanvas

CSO / 랜섬웨어 / 분쟁|갈등 / 비즈니스|경제

美 법무부, 이란계 랜섬웨어 해커 기소… 제보 현상금만 천만불

2022.09.16 Christopher Burgess  |  CSO
미 법무부가 미국 전역에 걸친 수많은 기관의 네트워크에 침투한 혐의로 이란계 해커 3명을 기소했다. 법무부는 기소 처분을 받기 위해 더 많은 정보가 필요하다며 제보에 천만 달러(한화 약 139억원)의 현상금을 내걸었다.
 
ⓒDepositphotos

법무부에 따르면 이들은 미국뿐만 아니라 영국과 호주, 이란, 러시아 등에 있는 수백명의 피해자들을 상대로 랜섬웨어 공격을 감행했다. 이들 3명이 지난 2020년 10월부터 올해 8월까지 수많은 기관의 네트워크를 공격, 데이터를 탈취해 돌려주는 대가로 수십만 달러를 요구했다고 기소장에 기재됐다. 

해커들은 보안이 취약한 기관을 무차별적으로 겨냥한 듯 추정된다고 법무부 관계자는 전했다. 피해 기관은 지방정부, 가정폭력 피해자 보호소, 어린이 병원, 회계 법인, 발전 회사 등 광범위하다. 
 

섬뜩한 프린터 협박 방식 

기소장은 이란계 해커들의 특이한 랜섬웨어 요구방식을 묘사했다. 법무부는 먼저 기술적인 과정을 설명하며 이 해커들이 실제 기관과 유사한 도메인을 꾸며 서버를 속이는 방식으로 기관의 네트워크에 침투했다고 전했다.

그다음 비트라커 애플리케이션으로 피해 대상의 데이터를 암호화한 뒤 랜섬을 요구했다. 랜섬을 요구한 방식이 섬뜩했는데, 이 네트워크에 연결된 프린터의 인쇄물에 다음과 같은 협박 메모를 같이 인쇄했다는 것을 알아냈다:
 
A.    이 기관의 네트워크가 침투당했기 때문에 이 메모가 같이 인쇄된 것이다. 
B.    역으로 우릴 공격하기는 불가능할 것이다. 당신은 벗어날 수 없는 위험에 처해 있다. 
C.    네트워크를 살리고 해독 코드를 얻고 싶다면 연락해라. 


실제로 미국의 한 가정폭력 피해자 보호소가 이 메시지를 보고 랜섬을 지불한 것으로 드러났다. 해커 그룹은 보호소에 이메일로 추가 답변을 요청했음은 물론 자신이 운영하는 온라인 채팅방으로 연락을 취했다. 결국 보호소는 1만 3천 달러(한화 약 1800만원)의 랜섬을 지불했다. 약속대로 해독 키를 받아 데이터를 회복할 수는 있었다고 보호소는 전했다. 

FBI 국장 크리스토퍼 레이는 성명에서 지난 2021년 6월 보스턴의 한 아동병원도 이 그룹의 랜섬웨어 공격을 받을 뻔했으나 다행히 제보를 받아 사전 차단에 성공했다고 밝혔다.

추가로 미 법무부는 해킹 그룹의 내부 문서를 발견했다. 각 해커가 일한 시간을 보고하는 내용의 이메일이었다. 이는 일한 시간에 따라 보상을 지급하는 식으로 이 그룹이 나름의 체계성을 갖췄다는 것을 보여준다고 법무부는 주장했다.
 

미 재무부, 이란 정부 연계성 주장 

한편 법무부의 한 고위 당국자는 “이들에 대한 기소는 이들이 이란 정부를 대표해 이같은 행동을 했다는 혐의를 제기하는 것은 아니다”라고 강조했다.

하지만 미 재무부는 같은 날 다른 입장을 밝혔다. 재무부는 이날 이란의 이슬람혁명수비대(IRGC)와 연계된 개인 10명과 기관 2곳에 대한 별도 제재를 발표하면서 해커 3명이 IRGC와 연계된 더 큰 해킹그룹의 일원이었다고 주장했다. 

미 재무부는 “이 IRGC 연계 그룹은 랜섬웨어 활동을 수행하기 위해 소프트웨어의 취약점을 악용한 것은 물론 무단 컴퓨터 접근, 데이터 유출, 기타 악성 사이버 활동에 관여한 것으로 알려져 있다”라고 전했다. 
 

CISO가 해야 할 일은? 

미 사이버보안 및 인프라 보안국(CISA)은 2021년 11월 한 보안 권고사항 업데이트에서 이란계 해킹 그룹의 APT(Advanced Persistent Threat) 공격에 대해 설명한 바 있다. 포티넷(Fortinet) 및 마이크로소프트 익스체인지(Microsoft Exchange) 취약점을 노린 APT다.

어떤 랜섬웨어에 언제 어떻게 공격받을지 알 수 없는 요즘 시대에 기업의 CISO로서 자세한 지침을 살펴보면 도움될 것이다. 이란계 사이버공격에 대해 기본적인 사항을 알고 싶다면 CISA가 작성한 ‘이란계 사이버공격 개요 및 권고사항(Iran Cyber Threat Overview and Advisories)’를 참고해도 좋다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.