록빗 갱단이 자기들의 웹사이트에 새로운 카운트다운을 시작했다. 11월 2일이 지나면 정보를 공개하겠다는 건데, 그 피해자가 놀랍게도 보잉이다. 록빗으로서는 꽤나 새로운 행보라고 보이기도 한다.

[보안뉴스 문가용 기자] 랜섬웨어 공격 단체 록빗(LockBit)이 자신들의 정보 공개용 웹사이트를 통해 보잉(Boeing)이라는 거대 기업을 침해하는 데 성공했다고 주장했다. 그러면서 수많은 민감 정보를 훔쳤으며, 11월 2일까지 협의점에 도달하지 못하면 그 정보들을 순차적으로 공개할 것이라고 밝혔다.


“민감 정보가 대량으로 유출됐고, 우리는 이 정보를 공개할 준비까지 완료했다. 보잉이 우리가 제시한 기한 전까지 우리에게 연락을 하지 않는다면 정보는 곧바로 공개될 것이다.” 록빗이 올린 게시글의 내용이라고 보안 전문가 도미닉 알비에리(Dominic Alvieri)가 공개했다. “지금은 보잉의 정보를 안전하게 보호하기 위해 샘플도 공개하지 않을 것이지만, 이것도 마감 기한 전까지만이다.”

해당 게시글에는 카운트다운 시계가 첨부되어 있고, 지금도 계속 시간이 흘러가고 있다. 보잉 측은 “록빗이 주장하는 내용을 접했으며, 현재 그 진위성을 검사하고 있다”고 밝혔다. 아직 어떤 과정을 통해 침해가 이뤄진 것인지 정확히 알려진 바가 없으나 록빗 측에서는 제로데이 취약점을 발견해 익스플로잇 했다고 주장하고 있다.

보안 업체 이그레스(Egress)의 수석 첩보 분석가인 제임스 다이어(James Dyter)는 “만약 제로데이 취약점을 익스플로잇 했다는 것이 사실이라면, 앞으로 험난한 길을 가야 할 것”이라고 예상하고 있다. “제로데이 취약점이 정말로 문제의 핵심이라고 한다면 현재까지 이 취약점에 대한 그 어떤 정보도 보잉은 확보하지 못했을 가능성이 높습니다. 게다가 보잉이라는 조직의 규모가 얼마나 큽니까. 공격자들이 익스플로잇 한 제로데이를 찾는다는 게 모래 사장에서 바늘 찾기와 같습니다.”

문제는 그것만이 아니다. “이번 사건이 대대적으로 알려지면서 세간의 주목을 받게 되었고, 이 상황을 악용하려는 후속 공격들이 이어질 겁니다. 보잉만이 아니라 보잉의 고객들까지도 각종 피싱 공격이나 사기에 노출될 수 있습니다. BEC 공격자들도 여기에 참전할 가능성이 높고요. 협상이 이뤄지지 않아 록빗이 데이터를 노출시키기 시작하고, 거기에 계정 크리덴셜이라도 섞여 있다면 상황은 걷잡을 수 없이 악화될 겁니다.”

보안 업체 블랙카이트(Black Kite)의 연구 수석 페르햇 디크비이크(Ferhat Dikbiyik)는 “록빗은 현재 가장 왕성하게 활동하는 랜섬웨어 단체이지만 보잉처럼 큰 조직들을 공격하는 걸 선호하지 않았었다”고 지적한다. “그래서 록빗도 지금 샘플마저 공개하지 않는 조심스러움을 보여주고 있습니다. 자신들도 지금 자신들이 벌인 짓 때문에 혼란스러울 수 있습니다.”

하지만 디크비이크는 “이번 사건을 계기로 록빗이 한 차원 높은 위협으로 변화할 수 있다”고도 보고 있다. “보잉 정도 되는 큰 규모의 조직을 건드린 게 록빗에게는 좋은 경험이 될 수 있습니다. 지난 8월에도 록빗은 영국 국방부 업체 한 곳을 침해하여 결국 영국 국방부에도 영향을 주는 데 성공했죠. 록빗 역시 조금씩 성장하고 있음을 알 수 있습니다. 더 무서운 위협이 될 겁니다.”

3줄 요약
1. 랜섬웨어 갱단 록빗, 최근 보잉 침해한 것으로 보임.
2. 보잉 측은 아직 확인 중에 있고, 록빗은 제로데이 공격을 한 것이라고 주장.
3. 보잉에 주어진 시간은 11월 2일까지.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>