새로운 해킹 그룹 ‘다크비트(DarkBit)’가 이스라엘의 테크니온 대학교를 타깃으로 랜섬웨어 공격을 한 후 48시간 이내에 80비트코인의 몸값을 지불하라고 요구했다.
지난 일요일(현지 시각) 이스라엘 테크니온 대학교(Technion university)가 랜섬웨어 공격을 받았다. 대학은 모든 통신 네트워크를 차단해야 했다. “테크니온이 사이버 공격을 받았다. 공격 범위는 조사 중이다”라고 대학교 측은 밝혔다. 이어 ‘다크비트’라는 해킹 그룹이 이번 공격의 배후를 자처하고 나섰다.
지난 1928년 설립된 테크니온은 생명 공학, 줄기세포, 우주, 컴퓨터 과학, 나노 기술 및 에너지 등의 분야에서 선도적인 대학교다. 총 4명의 교수가 노벨상을 수상했다. 아울러 이 대학교는 실리콘 와디(Silicon Wadi)에 있는 기술 클러스터를 비롯해 이스라엘의 첨단 산업 및 혁신 성장에 기여하고 있다. 테크니온 대학교는 랜섬웨어 공격으로 예정된 시험은 연기했지만 수업은 평소와 다름없이 진행된다고 전했다(기사 작성 당시 웹 사이트 접속은 불가능했다).
80비트코인의 몸값 요구
다크비트는 대학 측에 몸값으로 80비트코인(미화 약 170만 달러)을 요구했다. 또 48시간 이내에 이를 지불하지 않으면 몸값이 30% 증가할 것이라고 경고했다. 허드슨 록(Hudson Rock)의 공동 설립자 겸 사이버 보안 전문가 알론 갈에 따르면 대학교 웹사이트에는 “몸값을 지불하면 해독 키가 제공된다. 48시간밖에 남지 않았다. 시간이 지나면 30%의 페널티가 추가된다. 5일 후에는 데이터를 판매할 것이다”라는 메시지가 올려져 있었다고 한다.
아울러 다크비트는 메일을 통해 “테크니온 네트워크를 완전히 해킹했다. 모든 데이터가 [다크비트의] 보안 서버로 전송했다. 침착하고 숨을 돌린 다음, 여기저기 문제를 일으키는 아파르트헤이트 정권을 생각해보라”라면서, “거짓말과 범죄를 한 대가를 치러야 한다. 반인륜적 전쟁 범죄를 수행한 그리고 팔레스타인 사람뿐만 아니라 이스라엘 사람의 영혼을 죽이고 미래와 꿈을 파괴한 대가를 치러야 한다. 또 기술 전문가를 해고한 대가를 치러야 한다”라고 언급했다.
다크비트는 개인이 개인 파일을 복구하기 위해 연락할 수 있는 ‘톡스(Tox)’ 보안 메시징 앱의 메신저 ID를 공유했다. 이어 해당 해킹 그룹은 파일이 AES-256 군사 등급 알고리즘을 사용해 암호화됐다고 주장하면서, “(서드파티 애플리케이션/회사를 활용해) 키 없이 데이터를 복구하려는 시도는 영구적인 손상을 초래할 것”이라고 덧붙였다.
갈은 텔레그램, 트위터, 레딧, 유튜브, 페이스북에서 다크비트의 일부 소셜 미디어를 확인했다면서, “국가가 후원하는 조직적인 단체로 보인다. 머지않아 물건(데이터)을 업로드하기 시작할 것”이라고 전했다.
그에 따르면 이 해킹 그룹의 텔레그램 채널은 2월 12일에 만들어졌으며, 스스로를 “인종차별, 파시즘, 아파르트헤이트에 반대한다(#HackForGood)”라고 묘사했다. 텔레그램 채널에는 379명의 팔로워가 있다. 마찬가지로 트위터 채널도 2월에 만들어졌다. 트위터에는 “기술 기업에 전하는 조언: 앞으로 직원, 특히 괴짜를 해고하기로 할 때는 더욱더 조심하세요”라는 포스팅이 올라와 있었다.
글로브스(Globes)에 의하면 이스라엘 기술 기업은 2022년 한 해 동안 약 8,000명의 직원을 해고했으며, 2023년 현재까지는 최소 500명의 기술직을 감축했다.
이스라엘 국가사이버국(INCD)은 “이번 사태를 파악하고, 지원하며, 그 결과를 조사하기 위해 테크니온 대학교와 협력하고 있다”라고 밝혔다. 지난달 INCD의 국장 가비 포트노이는 “2022년 INCD는 이스라엘 경제에 광범위하고 실질적인 피해를 줄 수 있는 약 1,000건의 사이버 공격을 좌절시켰다”라고 말한 바 있다. ciokr@idg.co.kr