다크웹에서 버그바운티가 시작됐다. 록빗이라는 랜섬웨어 운영자들이 실시한 것으로 여러 해킹 포럼에 광고가 나가고 있는 상황이다. 여러 부문에서 좋은 정보를 모으고 있다고 하며, 상금은 개인 식별 정보나 익스플로잇 등의 형태로 줄 예정이다.

[보안뉴스 문가용 기자] 유명 랜섬웨어 집단인 록빗(LockBit)이 최근 자신들의 공격 무기를 최신화 하여 새롭게 발표했다. 이른 바 록빗3.0(LockBit 3.0)인데, 단순히 새로운 랜섬웨어를 출시한 것이 아니라 버그바운티 프로그램도 같이 시행한다고 한다. 다크웹에서 버그바운티가 진행된 건 사상 처음이다.

[보안뉴스 / 6.28.] 요즘 제일 잘 나가는 랜섬웨어 록빗, 다크웹 사상 최초 버그바운티도 시작

[이미지 = utoimage]

록빗3.0과 함께 등장한 버그바운티의 상금은 고위급 인사들의 개인 식별 정보, 보안 취약점 익스플로잇 등인 것으로 보인다. 다크웹에서 이런 정보들의 가치가 얼마나 높은지를 보여주는 사례다. 물론 개인정보나 익스플로잇은 다크웹에서 매우 흔하지만, 고위급 인사나 조직에 접근할 수 있게 해 주는 정부는 높은 값에 거래된다.

록빗3.0은 자신들의 새로운 서비스인 록빗3.0과 함께 버그바운티를 진행한다는 걸 다크웹 포럼들에 광고하기도 했다. “모든 보안 전문가들과 윤리적 해커, 비윤리적 해커들 모두를 초대한다”는 문구로 시작하는 이 광고를 통해 록빗 운영자들은 “웹사이트 버그, 파일 잠금 소프트웨어의 버그, TOX 메신저 익스플로잇, 신상털기 전략 등에 대한 연구 보고서를 접수 받는다”고 알렸다.

심사 과정을 통해 선정된 내용 중 쓸만한 것은 최소 1천 달러의 상금부터 수여 받는다고 한다. 심지어 전혀 색다른 사이버 범죄 유형을 창안하는 것에도 상금을 걸었다. 하지만 심사의 기준이나 선정 방법에 대해서는 언급하지 않았다.

록빗은 최근 가장 ‘잘 나가는’ 랜섬웨어 중 하나라고 볼 수 있다. 최근까지 왕좌의 자리에 있었던 콘티(Conti)가 지난 5월 폐쇄되면서 록빗 2.0이 가장 인기 높은 RaaS(서비스형 랜섬웨어) 상품이 되었다. 록빗 운영자들은 갑자기 자신들에게 쏠린 관심을 잘 인지하고 있는 것으로 보이며, 화제성을 계속해서 유지하기 위해 버그바운티를 새롭게 시작한 것으로 분석된다.

랜섬웨어  운영자들 사이에는 명예 같은 건 찾을 수 없어
보안 업체 벌칸 사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin)은 록빗의 버그바운티 소식을 듣고 “언젠가 다크웹에서도 나타날 것이라고 예상하고 있었다”고 말한다. “보안 업계에서 수년 전부터 나오던 소리가 있습니다. 사이버 범죄가 산업화 되었다는 것이죠. 이들은 자신들이 범죄를 저지르고 있다는 인식을 가지고 있지 않습니다. 사업을 한다고 생각하죠. 그렇다면 버그바운티를 실시해도 이상할 게 없지요.”

반면 보안 업체 넷엔리치(Netenrich)의 수석 위협 헌터인 존 밤베넥(John Bambenek)은 “랜섬웨어 산업의 중요한 전환점이 될지 모르는 사건”이라고 분석한다. “다만 성공적일 것이냐에 대해서는 회의적입니다. 사이버 범죄자가 또 다른 범죄자에게 진지하게 작성한 보고서를 제출하고, 그러면서 상금을 받는다는 게 상상하기 어렵습니다. 범죄자들 스스로도 ‘내가 낸다 한들 정직하게 상금이 돌아올까?’라는 의심을 가지고 있을 겁니다.”

밤베넥이 이렇게 생각하는 건 사이버 범죄의 가장 큰 피해자는 사이버 범죄자라는 소리가 오래 전부터 나와 사실인 것으로 거듭 확인되고 있기 때문이다. 사이버 범죄자들의 1차 피해자는 다크웹에서 같이 활동하는 사이버 범죄자들이며, 이 때문에 유명 해킹 포럼에서는 서로 간의 사기를 막기 위해 등록비를 포럼 운영자에게 내고 활동하는 제도가 자리를 잡고 있기도 하다. 누군가 사기를 쳤다는 신고가 들어가면 그 등록비로 손해를 메워주기 위해서다.

“상금 수여 대상이 될 만한 취약점을 발견한 사이버 범죄자가, 나올지 안 나올지 모르는 상금을 위해 굳이 록빗에 순순히 제출할 가능성은 낮습니다. 그 취약점이나 익스플로잇 정보를 스스로 활용하면 더 큰 돈을 벌 수 있는데 말이죠. 사이버 범죄자들 사이에는 명예 같은 건 존재하지 않습니다.”

3줄 요약
1. 요즘 제일 활동량 높은 랜섬웨어는 록빗.
2. 록빗 운영자들은 록빗3.0과 함께 버그바운티를 시작한다고 발표.
3. 랜섬웨어 산업이 얼마나 성장하고 규모를 갖췄는지를 드러내는 대목.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>