미크로틱의 장비로 봇넷을 만들고, 이 봇넷으로 디도스 공격을 실시하며 피해자를 압박하는 단체가 나타났다. 그런데 이 단체가 스스로를 레빌이라고 부르고 있어서 보안 업계가 살짝 긴장하고 있다.
[보안뉴스 문가용 기자] 한 사이버 공격 단체가 조직적으로 디도스 공격을 하기 시작했는데, 이 단체가 다름 아닌 레빌(REvil)이라는 악명 높은 랜섬웨어 운영자일 가능성이 있는 것으로 분석되고 있다. 보안 업체 아카마이(Akamai)에 의하면 이번 디도스 공격은 아카마이 고객사 한 곳을 겨냥하고 있었고, 공격을 중단시키려면 비트코인을 입금하라는 메시지가 전달되었다고 한다. 여기에 더해 한 국가의 이름을 언급하며 해당 지역에서는 사업을 하지 말라는 내용도 포함되어 있었다고 한다.
![[보안뉴스 / 5.26.] 레빌의 부활? 순수 디도스 공격만으로 협박하는 단체 나타나](http://www.boannews.com/media/upFiles2/2022/05/771489535_7576.jpg)
[이미지 = utoimage]
공격자들이 언급하고 있는 나라는 최근 미국 대법원에서 진행된 한 재판과도 관련이 있는 곳으로, 만약 공격자들이 정말로 레빌이라면 지정학적 요소가 이들의 공격 동기에 섞였다는 뜻이 된다. 이는 이전과는 사뭇 다른 점이라고 볼 수 있다. “여태까지 레빌이 정치적이나 지정학적인 이유로 움직이는 것을 한 번도 본 적이 없습니다. 새로운 국면에 접어든 것일 수도 있고, 일부 멤버의 성향이 바뀌었을 수도 있습니다.” 아카마이의 설명이다.
또한 얼마 전부터 데이터 유출과 랜섬웨어 공격을 한꺼번에 진행하는 이중 협박 전략에 더해 디도스 공격까지 더하는 삼중 협박 전략이 일부 랜섬웨어 공격 단체들에 의해 사용되기 시작했다. 하지만 이번 캠페인에서처럼 렌섬웨어 단체가 오로지 디도스만 협박용으로 활용하는 것은 드문 일이고, 더군다나 레빌은 이전까지 이러한 공격을 시도한 적이 없었다. 아카마이는 “이 역시 레빌이 이전에 보이지 않던 행동”이라고 설명한다.
차이점도 있지만 유사한 점도 존재한다. 예를 들어 이번 디도스 캠페인에서는 미크로틱(MikroTik)의 장비들이 광범위하게 사용되었음이 밝혀지기도 했다. 공격자들이 미리 미크로틱 장비들을 봇넷으로 감염시켜서 디도스 공격용 인프라를 구성했던 것이다. 이 때 이들이 사용했던 봇넷 멀웨어는 메리스(Meris)라고 한다. 메리스는 이전부터 레빌과 관련이 있던 공격 도구 중 하나라고 아카마이는 보고서를 통해 밝혔다.
레빌은 러시아에 있는 랜섬웨어 운영 단체로 알려져 있으며, 올해 러시아 사법 기관의 활동으로 해체된 것으로 전해지고 있다. 실제로 레빌의 활동량은 크게 줄어들었다. 하지만 얼마 전부터 레빌의 흔적들이 다시 한 번 나타나며, 부활을 의심하는 목소리들이 몇몇 보안 전문 업체들로부터 나오기 시작했다. 그런 가운데 아카마이 역시 최근의 디도스 공격과 레빌의 연관성이 의심된다는 내용의 보고서를 발표한 것이다.
아카마이의 엔지니어인 채드 시먼(Chad Seaman)은 “레빌이 부활해 새로운 전략을 실험하는 긋으로 보이지는 않는다”는 의견이다. “레빌의 이전 모습과 다른 점이 제법 많다고 봅니다. 얼마 전부터 다른 보안 업체들 사이에서 레빌의 부활이 우려된다는 내용의 보고서들이 나오기 시작했는데, 그 보고서들의 내용도 확신을 주기에는 정보가 모자라다고 생각합니다. 저희의 보고서도 ‘희미한 가능성이 있다’는 정도만 나타내지 레빌의 부활을 확신하고 있지는 않습니다.”
위에 언급된 두 가지 중요한 차이(정치적 요소, 순수 디도스 공격) 외에도 비트코인 지갑 주소도 전과 다르다. 시먼은 “이번 디도스 공격자들이 스스로 레빌이라고 부르는 것 외에는 레빌의 부활을 의심할 만한 자료는 많이 없다”며 “개인적으로 레빌을 사칭하는 아마추어 해킹 집단이 벌인 짓 같다”고 말한다.
디도스 협박
그렇다고 해서 이번에 발표된 아카마이의 보고서가 의미를 갖지 않는 건 아니다. 레빌이라고 확신할 정도의 증거도 없지만, 레빌이 아니라고 확언할 만한 증거 역시 발견되지 않고 있기 때문이며, 그 무엇보다 디도스만 가지고 피해자에게 돈을 요구하는 흔치 않은 사례에 대한 내용이기 때문이다. 시먼은 “공포심을 피해자에게 심어주면 돈을 뜯어낼 가능성이 높다는 걸 공격자들이 너무나 잘 이해하고 있다”고 설명을 덧붙인다.
“랜섬웨어가 크게 유행하고 있지만 그것도 결국은 피해자의 심리를 자극해 공포감을 심어주는 도구 중 하나일 뿐입니다. 공포감을 심어줄 수 있는 또 다른 도구나 전략이 나오면 랜섬웨어 이상 유행할 수도 있지요. 즉 공포와 패닉을 유발하는 심리전이 사이버 공격자들 사이에서 유행하고 있다고 볼 수 있습니다. 이번 디도스 공격 캠페인도 그런 면에서 보아야 하겠고요. 이러한 공격이 효과적인 선례를 남기면 많은 공격 단체들이 이를 흉내 낼 것입니다.”
시먼은 공격자들이 레빌이라는 이름을 언급한 것 역시 같은 맥락에서 이해할 수 있다고 보고 있다. “레빌은 지난 몇 년 동안 악명을 떨친 공격 단체입니다. 이런 유명한 단체가 되살아났다고 하면 사람은 본능적으로 공포심부터 갖게 되죠. 어쩌면 저희의 분석 보고서는 ‘분석해 보니 그렇게 겁낼 만한 일은 아니다’라는 걸 알려주는 역할을 할 수도 있겠습니다.”
3줄 요약
1. 최근 레빌이라고 스스로를 부르는 단체가 디도스 공격으로 피해자를 협박함.
2. 레빌의 부활이 의심되는 시기에 나타난 이름이라 보안 업계가 긴장함.
3. 하지만 공격을 분석해 보니 레빌과 다른 점들이 제법 많이 나타남.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 5.26.] 레빌의 부활? 순수 디도스 공격만으로 협박하는 단체 나타나](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")