• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새로 등장한 랜섬웨어 그룹 에잇베이스, 중소기업들을 집중적으로 노려 2023.06.22

새 랜섬웨어 공격자들이 등장해 세계 중소기업들을 괴롭히는 중이다. 하지만 이들의 움직임은 매우 낯이 익다. 랜섬웨어 공격의 표준을 잘 따르고 있기 때문이다. 따라서 방어의 표준을 잘 따르면 어느 정도 방어가 가능하다.

[보안뉴스 문가용 기자] 약 1년 동안 발각되지 않은 채 활동해 온 랜섬웨어 그룹이 이번 주 공개됐다. 그 동안 다크웹에서 계속해서 여러 기업들의 정보들을 유통시켜 왔기 때문에 결국 꼬리가 밟혔다고 한다. 이들의 이름은 에잇베이스(8base)이며, 최소 2022년 4월부터 활동해 온 것으로 분석된다. 참고로 미국 플로리다 주에도 에잇베이스라는 소프트웨어 개발사가 있는데, 우연히 이름만 같을 뿐이라고 한다.

[이미지 = gettyimagesbank]


에잇베이스는 이중협박 전술을 구사하는데, 주로 중소기업을 상대한다는 특징을 가지고 있다. 지난 5월 67개 기업의 정보를 한꺼번에 공개하면서 존재감을 드러냈다. 보안 업체 NCC그룹(NCC Group)의 글로벌 위협 첩보 책임자 맷 헐(Matt Hull)은 “6월에도 29개 기업을 공략하면서 꽤나 바쁜 때를 보내고 있다”고 에잇베이스에 대해 설명한다.

지난 1년 동안 숨어 있다가 갑자기 등장한 그룹이라 에잇베이스의 전략과 전술에 대해서는 크게 알려진 바가 없다. 게다가 중소기업들을 주로 노리는 바람에 사건 자체가 화제되지 않았다는 것도 이들을 ‘수수께끼의 그룹’으로 만드는 데 일조했다. 현재까지 이들에게 당한 기업은 영국의 한 청소 업체, 이집트의 위생 업체, 보스턴의 작은 사립 학교 등이다.

산업별로 피해자들을 구분했을 때 이렇다 할 공통점이 나오지도 않는다. 과학 기술, 제조, 도소매, 건축, 의료 등 다양하다. 게다가 지역을 구분하는 특징도 아직까지 드러난 바가 없다. 인도의 선박 회사, 페루의 선물 포장 회사, 마다가스카르의 카드보드 생산 공장 등 기준이 불분명하다. “그렇지만 북아메리카 조직들이 가장 많이 당했습니다. 전체 피해자의 1/3이 북아메리카에 있습니다. 그 다음은 남아메리카입니다. 특히 브라질에서 피해자가 속출합니다.”

에잇베이스의 사업 모델
에잇베이스에 대해 알려진 것이 거의 없다고 했지만, 이들의 운영 방식에 대해서는 조금 밝혀진 내용이 있다. 에잇베이스의 정보 공개 사이트에는 ‘이용 약관’ 페이지가 있는데, 여기에는 피해자들과 자신들을 위한 13개의 규칙이 나열되어 있다. 어설프게 법적 용어들이 활용되고 있다. 피해자들은 “절대 경찰과 협력해서 안 된다”는 항목과 “에잇베이스는 개인정보를 제3자와 절대 공유하지 않는다”는 항목이 눈에 띈다.

에잇베이스는 스스로를 정직한 모의 해커로 묘사하고 있다. 자신들에 대한 설명이 포함되어 있는 ‘About Us’ 페이지에는 “우리는 펜테스터로서 프라이버시와 데이터의 중요성을 인지하지 못하고 있는 기업들만 골라서 경고하고 있다”고 적혀 있다. 헐은 “스스로를 이런 식으로 인지하고 있는 사이버 공격 단체들이 제법 있다”고 설명하며 “사이버 공격자들 사이에서는 이런 식의 사업 모델이 꽤나 유용하다는 인식이 있는 듯하다”고 말한다.

결국 에잇베이스는 대단히 창의적이거나 획기적인 그룹이라고 보기는 힘들다. 하지만 획기적이지 않은 단체의 공격 기술이라고 해서 막기 쉬운 건 아니다. 오히려 이전에 나타났다 사라진 수많은 공격 그룹들이 다져온 전형적인 기술들을 잘 답습만 해도 무서워지는 게 사실이다. 새내기 공격자들에게는 이전의 방법론을 익히고 다지는 게 시간과 비용을 아낄 수 있는 가장 좋은 방법이기도 하다.

“여태까지 공개된 피해자들은 주로 중소기업들입니다. 랜섬웨어 조직들에게 돈을 내기 힘든 상황에 처한 단체들이죠. 이런 조직들은 예산이 빠듯해 보안 대행 서비스를 이용하기도, 보안 담당자를 고용하기도 어려울 때가 많습니다. 이번 에잇베이스의 공격에 당해 치명적인 피해를 입었을 가능성이 높습니다.”

그러면서 헐은 “그런 단체일수록 기본기를 잘 지키는 게 중요하다”고 강조한다. “비밀번호를 어렵게 설정하고, 자주 바꿔주며, 다중인증 기술을 도입한다는 게 기본 중 기본입니다. 그런 다음 소셜엔지니어링 공격에 당하지 않게 임직원 대상 교육을 꾸준히 진행하는 것도 좋고요. 이것만 충실하게 실천해도 엉뚱한 데 돈 쓰지 않고 전형적인 랜섬웨어 공격 정도는 막을 수 있습니다.”

3줄 요약
1. 최소 1년 동안 안 들키고 활동해 온 랜섬웨어 그룹 에잇베이스.
2. 최근 두 달 연속 여러 중소기업 정보 공개하면서 이름 알림.
3. 대단히 창의적이진 않지만 랜섬웨어의 기본기를 잘 갖추고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>