클롭(Clop) 랜섬웨어 그룹이 2년 간 준비해 일으킨 ‘무브잇’ 취약점 사건
.zip와 .mov를 최상위 도메인으로 공개한 구글, 보안전문가들에게 비판받는 이유
폭풍전야! 북한의 해킹 공격, 대규모 사이버테러를 준비하고 있을까?


■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 34화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요? 보안뉴스 권준 편집국장입니다.

■ 곽경주 이사 안녕하세요 S2W 곽경주입니다.

□ 권준 국장 그간 잘 지내셨죠?

■ 곽경주 이사 네.

□ 권준 국장 최근에 이사님이 근무하시는 S2W에서 ‘다크웹 전용 AI 언어모델’도 개발했다고 들었거든요? ‘DarkBERT’ 인가요?

■ 곽경주 이사 DarkBERT는 말씀하신대로 다크웹 내에 있는 데이터를 학습해서 만든 AI 모델이고요. 해외에서도 그렇고 지금 반응이 되게 뜨거운데, 뭔가 범죄 수사에 도움이 될 수 있을 것 같은 그런 기대감에 다들 좋아하는 것 같습니다.

□ 권준 국장 최근에 또 한 가지 주목할 만한 것이 ‘무브잇(Moveit)’ 소프트웨어라고 여기서 ZeroDay 취약점이 연이어 발견되어서 큰 이슈가 되고 있는 것 같습니다. 클롭(Clop) 랜섬웨어 조직이 이를 활용했다는 것으로 또 알려졌거든요? 한번 설명을 부탁드리겠습니다.


[클롭(Clop) 랜섬웨어 Moveit 취약점]
■ 곽경주 이사 ‘무브잇’이라는 것은 파일 전송을 해주는 소프트웨어라고 보시면 되고요. 파일을 전송해 주고 파일을 저장해 주는 솔루션이라고 보시면 되는데요.

□ 권준 국장 많은 기업들이 쓰고 있나 보죠?

■ 곽경주 이사 그렇죠, 되게 많은 기업들이 사용하고 있고요. 지금 클롭(Clop)은 예전부터 이런 파일 전송 소프트웨어에 대한 취약점을 많이 이용해요. 왜 그러냐면 파일 저장소를 이용하기 때문에 랜섬웨어를 굳이 밀어 넣지 않더라도 그 취약점을 이용하면 내부 데이터 탈취가 훨씬 쉽거든요.

예전에 ‘Accellion FTA’라고 File Transfer와 관련된 소프트웨어의 취약점으로도 많은 데이터를 유출해 갔고 이번 ‘무브잇’ 같은 경우에도 그런 식으로 (데이터를) 가지고 나갔었는데요. 최근 들어 이것이 이슈가 되고 있는 이유가 여러 가지가 있는데요.

일단 클롭(Clop)에서 2년간 이 취약점을 알고 있으면서도 ‘묵혀 놨다’라는 얘기가 있어요. 그동안 이 무브잇을 사용하는 고객사들, 기업들이 어딘지를 확인하는 과정을 거쳐왔고, 그리고 그 이후에 내부에서 데이터를 탈취해오는 그 과정까지 전체를 자동화해서 이번에 드러난 것이고요. 그래서 얼마나 많은 기업들이 그동안 당해왔는지 추산이 어려운 상황이기 때문에 그래서 좀 이슈가 되고 있어요.

□ 권준 국장 그럼 취약점 자체는 두 번 정도 발견했다는데, 이것은 다 패치는 된 것인가요?

■ 곽경주 이사 네.

□ 권준 국장 정말 대단하네요, 범죄 조직 하나가 2년 동안 이것(취약점)을 활용하기 위해서 연구하고. 그 다음에 이런 것들을 조사했다는 것이 이제 사이버 조직도 점점 더 고도화되고 전문화되고, 정말 오랜 기간 치밀하게 준비를 하는 구나라는 부분에 있어서 무서움이 커지지 않나 싶습니다.

[구글 최상위 도메인 논란]
□ 권준 국장 구글이 최근에 새로운 최상위 도메인 이름을 두 가지를 (공개)했는데 이것이 여러 가지 이슈가 되는 것 같아요. 보안 측면에서 보안 담당자들의 비판도 커지고 있는데 그 이유는 뭘까요?

■ 곽경주 이사 최상위 도메인에 구글이 등록한 것이 7개거든요. 그 중 문제가 되고 있는 것은 .zip이랑 .mov인데요. .zip은 저희가 압축 파일 (사용)할 때 확장자 명이고, .mov는 영상 관련된 확장자인데요. 이것을 도메인으로 이용하면 무슨 문제가 있냐면 공격자들이 피싱(Phishing) 공격 같은 것 하기가 쉬워지는 거예요. “이거 무슨 압축 파일이니까 이거 누르면 파일 내려올테니까 설치하세요”라고 (공격자가 피싱으로) 보낼 수도 있는 문제고, 그래서 뭔가 그 정상과 비정상간의 구별이 조금 어려워지고 이것을 도메인으로까지 쓰다보니까 더 혼란이 가중될 수 있어서 보안 쪽에서는 경고를 하고 있는 거예요.

□ 권준 국장 악성코드 보낼 때 압축 파일로 만들어 메일에 첨부하거나 이런 경우가 많잖아요. 그게 보통 zip 압축 파일로 많이 쓰니까 그런 것들이 활용이 되면 아무래도 이게 정상 파일인지 헷갈릴 수 있는 등 문제가 된다는 말씀이시죠?

■ 곽경주 이사 여러 가지 것들이 혼용돼서 사용하게 되면 헷갈릴 수 있다는 것이죠.

□ 권준 국장 구글에서는 혹시 이것과 관련해서 따로 얘기가 나온 것이 있나요?

■ 곽경주 이사 아직까지는 딱히 대응은 없는 것 같아요.

[폭풍전야! 북한의 해킹 공격]
□ 권준 국장 저희 다크웹 인사이드 콘텐츠에서 사실 북한 해킹 얘기 빼놓으면 되게 서운하죠. 우리나라 정부에서도 ‘김수키’, 항상 얘기하는 김수키 조직을 독자 제재한다는 내용도 발표를 했고, 그 다음에 요즘에 경찰청과 국정원에서 북한 해킹 이슈에 대해서 많이 발표를 하더라고요. 저는 사실 조금 걱정이 되는 것이 우리 정부에서 워낙 북한 쪽에 그런 것들(강력 제재)을 발표하고 하다보니까 항간에 들리는 얘기로는 “북한에서 이를 갈고 있다”라는 얘기도 좀 들려요. 그래서 걱정하시는 분들이 많거든요? 관련해서 이런 위험성들은 어떻게 보고 계시는지 이사님께서 말씀해 주시죠.

■ 곽경주 이사 지금 말씀하신 대로 요즘 좀 (북한이) 잠잠한 편이에요. 하지만 그렇다고 해서 위험성이 줄어들었냐? 저는 그것은 아니라고 보고요. 북한에서 어떤 생각인지는 잘 모르겠어요. 티 안 나게 조용히 큰 공격을 준비하고 있는 것인지? 국내 연구기관이나 정치인들을 대상으로 한 정보 탈취 목적의 공격, 그리고 계정정보를 탈취해 가는 그런 피싱 공격 등은 꾸준히 있거든요? 그런데 (북한이) 이것을 가지고 무엇을 할 것인가 그들의 선택에 따라 다를 것 같은데요. 그래서 앞으로 이런 잔잔한 공격들은 계속 일어날 것 같고요. 이런 것들을 병행하다가 조금 큰 건(해킹 취약점)이 생기면 북한이 뭔가 더 적극적인 공격을 시도하지 않을까 하는 생각은 듭니다.

□ 권준 국장 우리나라와 북한, 중국과의 관계가 사실 조금 안 좋은 편이라서요. 중국하고 북한이 워낙 해킹 대국이고, 그런 측면에 있어서는 저희한테 다른 방식으로 복수를 할 수도 있지 않을까 우려도 되는 부분이 있어서요. 이러한 대응이 또 장단이 있는 것 같긴 합니다.

[한 달간 다크웹 피해 통계]
□ 권준 국장 마지막으로 주요 이슈 외에 다크웹에서 활발하게 활동했던 조직이나 피해 국가, 피해 기업, 그리고 피해 현황에 대해서 한번 정리를 좀 부탁드리겠습니다.

■ 곽경주 이사 피해 기업이 많이 늘었어요, 321개 정도의 랜섬웨어 피해 기업이 있었고요. 롯빗(LockBit)은 여전히 열심히 하고 있습니다. 근데 최근에는 좀 이슈가 되고 있는 것이 LockBit의 Leak 사이트가 있어요. 그곳에 허위 데이터가 많이 올라왔어요. 그리고 최근에는 ‘Darktrace’라고 영국에 있는 네트워크 보안 기업인데...

□ 권준 국장 유명한 기업이죠.

■ 곽경주 이사 그들의 이름이 올라왔어요. 근데 사실 내용을 보면 Darktrace가 아니라 다른 기업이거든요. 그런 것도 그렇고 여러 가지 허위 정보가 많이 올라오고 있어요, (LockBit의) Leak 사이트에요. 그리고 국내 해외법인에서의 피해 사례도 종종 계속 올라오고 있고요. 그리고 피해 산업군별로 보면 비즈니스 서비스, 제조업, 교육 분야로 다양하게 공격이 들어가는 것을 볼 수 있고요. 그리고 피해 국가를 보게 되면 여전히 미국이 압도적이고요. 이렇게 피해를 많이 당하고 있는데, 아직도 당할 회사가 있다는 것이, 미국이 얼마나 큰 나라인지... (웃음) 알 수 있고요.

□ 권준 국장 얼마 전에는 또 미국에서 병원 하나가 랜섬웨어에 처음 걸리고 난 다음에 이런 (의료) 관련 시스템이 마비가 돼서 “결국에는 폐업을 했다”라는 소식도 있더라고요.

■ 곽경주 이사 국내 의료기관도 그래서 그런지 최근에 정보보호에 대한 관심이 많이 높아졌어요. 의료 ISAC은 가입률이 현저히 떨어지는 편이거든요.

□ 권준 국장 좀 저조했거든요?

■ 곽경주 이사 우리나라 의료 쪽도 정보보호에 투자를 많이 하고, 외주 의존도도 높은데요. 외주 업체의 결과물에 대한 정보보호 관점에서의 검증 같은 프로세스가 잘 잡혀있어야 되지 않나 싶습니다.

□ 권준 국장 오늘도 여러 가지 중요한 이슈, 심각한 이슈들 많이 말씀해주셨네요. 오늘 너무 수고 많으셨습니다.

■ 곽경주 이사 감사합니다.

□ 권준 국장 이상 마치겠습니다.
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>