S2W, 전세계 사이버보안 위한 '록빗' 공격 분석 발표
by한광범 기자
2024.06.11 08:04:00
[이데일리 한광범 기자] 데이터 인텔리전스 기업 S2W(에스투더블유)는 지난 10일 일본 후쿠오카에서 개최된 침해사고 대응-예방 컨퍼런스 FIRST 2024에서 세계 최대 랜섬웨어 운영조직 록빗(LockBit)의 공격 수법에 대해 공개했다.
FIRST(Forum of Incident Response and Security Teams)는 1990년에 설립된 국제 비영리협회로 컴퓨터 보안 및 사고 대응 팀, 제품 보안 및 사고 대응 팀, 공공, 민간 및 학계의 독립 보안 연구자 등 100개 이상의 국가, 600개 이상의 팀으로 구성되어 있다. 올해 36회째 개최되는 FIRST의 컨퍼런스는 정보 보안 분야에서 명성있는 행사로 자리매김했다.
스피커로 참여한 양희성 S2W 위협인텔리전스 센터 연구원은 ‘Dissecting the Arsenal of the LockBit Group’라는 주제로 컨퍼런스에서 세계 최대 랜섬웨어 조직 록빗(LockBit) 그룹의 공격수법 분석 내용에 대해 공개했다.
록빗은 서비스형 랜섬웨어(RaaS, Ramsomware-as-a-Service) 형태로 조직을 운영한다. 블랙배터(BlackMatter) 랜섬웨어, 콘티(Conti) 랜섬웨어 코드 등 다수의 제휴사를 고용해 마치 기업처럼 활동한다. 2023년 기준 전체 4,189명의 랜섬웨어 피해자 중 1118명이 록빗의 피해를 입었다. 이는 다른 어떤 랜섬웨어 그룹보다 많은 피해를 초래한 수치다.
록빗은 영국 국가보건서비스(NHS)를 공격하여 마비시킨 혐의를 받고 있으며 미국 보잉사(Boeing)를 공격해 내부자료를 온라인에 공개하기도 했다. 영국 국가범죄수사청(NCA)을 포함한 10개국의 수사기관은 지난 2월 록빗을 대상으로 무력화 작전을 진행했다. 수사기관들의 공조로 록빗은 공격 인프라에 큰 피해를 입었으나 나흘이 지난 시점에 부활했다고 밝혀졌다.
한편, S2W의 위협 인텔리전스 센터 ‘탈론(Talon)’은 세계적으로 인정받는 보안전문가들로 구성된 사이버보안 분석 그룹이다. 인터폴 등 글로벌 수사기관과 랜섬웨어 검거 관련 협업한 경험이 있으며 2023년에 이어 2년 연속 FIRST 컨퍼런스의 스피커로 초대되었다. S2W는 자체 사이버보안 솔루션 퀘이사(QUAXAR)에 탈론의 인텔리전스를 적용하며, 기업 및 공공기관에 해당 솔루션을 공급하고 있다.