약 6주 전부터 공격 그만두고 정보 유출용 웹사이트도 운영 중단해
하지만 9월부터 등장한 랜섬웨어에서 메이즈와 유사한 점 많이 발견돼

[보안뉴스 문가용 기자] 악명 높은 메이즈(Maze) 랜섬웨어가 업계를 떠날 준비를 하고 있다는 소식이다. 이미 수많은 업체들에 천문학적인 피해를 입힌 메이즈이지만, 사라진다는 게 그리 반가운 소식은 아니다. 이미 대체재가 충분하기 때문이다.


이 소식을 최초 보도한 블리핑컴퓨터에 의하면 메이즈 운영자들은 더 이상 사업을 진행하지 않을 것이라고 발표했다고 한다. 2019년 5월에 처음 등장한 이후 이미 엄청난 피해를 일으킨 뒤였다. 그 동안 메이즈가 공격한 조직들 중 눈에 띄는 곳은 다음과 같다.

1) LG전자
2) 피트니보우스(Pitney Bowes)
3) 제록스
4) 펜서콜라 시

메이즈는 파일을 암호화 할 뿐만 아니라 미리 일부 파일을 훔쳐냄으로써 피해자가 돈 내기를 거부할 때 유출시킥는 ‘이중 협박’ 작전을 최초로 구사한 랜섬웨어이기도 하다. 정보 유출 전용 웹사이트를 개설해 운영하면서 피해자들의 목을 옥죄었고, 이 때문에 높은 수익을 거둘 수 있었다. 많은 랜섬웨어 공격자들이 이 수법을 따라하고 있다.

하지만 지난 6주 동안 메이즈는 공격의 고삐를 서서히 늦춰다. 파일 암호화 시도를 그 기간 동안 하지 않았고, 정보 유출용 웹사이트의 정보들을 삭제하기 시작했다. 다만 이미 모든 정보가 다 노출된 것으로 보이는 조직 두 개는 아직 웹사이트에 올라와 있는 상태다. 현재 보안 업계는 이들이 복호화 키를 제공할 것인지를 지켜보고 있다. 랜섬웨어 공격자들이 ‘은퇴’할 때는 복호화 키를 내놓는 것이 보통이다.

메이즈가 사라지면 다른 랜섬웨어가 그 자리를 차지할 텐데 그 유력한 후보 중 하나로 이그레고르(Egregor)가 꼽히고 있다. 이그레고르는 2020년 9월, 즉 메이즈가 은퇴의 움직임을 보이기 시작한 시점에 등장한 새 랜섬웨어로 지금까지 매우 왕성한 활동력을 보이고 있다. 최근 반즈앤노블(Barnes & Noble)이 이들에게 당했다. 데이터 일부가 유출되는 일까지 있었다.

이그레고르와 비슷한 랜섬웨어로는 세크멧(Sekhmet)이라는 것도 있다. 이 둘은 상당히 많은 유사점을 가지고 있는데, 이 유사점들은 메이즈에서도 상당수 발견된다고 한다. 마치 메이즈가 다시 태어난 듯한 모습이라고 한다. 그러나 이그레고르 및 세크멧 운영자들과 메이즈 운영자들 사이의 연결고리는 아직 발견되지 않고 있다.

보안 업계와 외신들은 메이즈 랜섬웨어의 ‘은퇴’를 믿지 않고 있다. 더 정확하게 말하면 메이즈라는 이름만 사라질 뿐 이그레고르나 세크멧이라는 이름으로 활동을 지속할 것이라고 보고 있는 것이다. 조만간 메이즈 운영자들과 이그레고르 운영자들에 대한 보고서들이 업계에 속속 등장할 것으로 예상된다.

이런 식의 ‘은퇴 쇼’는 갠드크랩(GandCrab)이라는 랜섬웨어 운영자들이 보여주기도 했었다. 갠드크랩 랜섬웨어 운영자들은 돈을 벌 만큼 벌었다며 범죄에서 손을 떼겠다고 선언을 했고 실제로 사라졌는데, 후속주자인 소디노키비(Sodinokibi) 및 레빌(REvil) 랜섬웨어가 빈 자리를 차지했다. 갠드크랩 운영자들은 수사를 따돌리기 위해 가짜로 은퇴하고 다른 랜섬에어를 활용하기 시작한 것으로 알려져 있다.

3줄 요약
1. 이중 협박 창시자인 메이즈 랜섬웨어, 은퇴를 준비하고 있음.
2. 공격도 그만두고 정보 유출용 웹사이트도 사실상 기능 안 하고 있음.
3. 하지만 이그레고르와 세크멧 등 유력해 보이는 후속주자들이 이미 있는 상태.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>