“캄파리 네트워크에 불법적으로 침투해 민감한 데이터 잔뜩 가져갔다” 광고
페이스북 계정과 광고 인프라도 안전하지 못해...모방 범죄 양산될 것으로 보여

[보안뉴스 문가용 기자] 라그나로커(Ragnar Locker) 랜섬웨어 운영자들의 압박이 거세지고 있다. 최근 라그나로커에 당한 이탈리아 양주 업체인 캄파리(Campari)에 “돈을 내지 않으면 2TB의 민감 데이터를 공개하겠다”고 정식으로 통보한 것이다. 캄파리는 11월 3일 공격에 당했고, 1500만 달러를 요구받고 있는 상황이다. 캄파리 측도 랜섬웨어 공격에 당한 것을 인정했다.


여기까지만 보면 최근 랜섬웨어 공격자들 사이에 형성된 유행인 ‘이중 협박’ 전략과 크게 다르지 않다. 하지만 라그나로커는 여기서 한 발 더 나아갔다. 페이스북 광고가 활용되었기 때문이다. 라그나로커는 페이스북 광고 채널을 통해 이러한 협박을 대대적으로 가함으로써 일반 대중들도 캄프리가 현재 랜섬웨어에 당했으며 민감한 데이터를 도난당했다는 것을 알게 만들었다.

이러한 광고를 처음 발견해 보도한 건 보안 블로거인 브라이언 크렙스(Brian Krebs)로, 광고 문구는 대단히 직설적이었다고 한다. “캄프리 그룹 네트워크의 보안 침해 사고”였던 것이다. 라그나로커 운영자들은 페이스북 계정을 해킹한 후, 이 계정으로 광고 자리를 구매한 것으로 보인다. 이 협박 문구가 실린 광고는 페이스북의 사용자들 약 7천 명에게 노출되었으며 그 후 페이스북 측에서 광고를 내렸다.

라그나로커는 2019년에 처음 발견된 랜섬웨어로, 지난 4월부터 이중 협박 전략을 활용하기 시작했다. 그러면서 ‘수치의 벽(Wall of Shame)’이라는 정보 공개용 사이트를 개설해 운영하기 시작했다. 그러나 이 사이트는 다크웹에서 운영되던 것으로 일반 대중들이 접근하기는 힘들다. 즉 정보를 노출시키겠다는 협박의 무게감이 다소 떨어진다는 단점이 있는 것이다.

그렇기 때문에 라그나로커 운영자들은 일반 대중들도 볼 수 있는 온라인 광고 인프라로 무대를 옮긴 것으로 보인다. 이러한 움직임이 놀라운 건, 이들이 자신들의 악성 행위를 숨길 마음이 전혀 없다는 것을 단적으로 보여주기 때문이다.

또한 페이스북 광고 시스템도 라그나로커 운영자들의 공격에 노출되어 있다는 것을 드러내기도 한다. 누구나 페이스북 계정 해킹으로 인해 엉뚱한 광고비를 지불하게 되는 불이익을 겪을 수 있게 되었다는 경고가 보안 업계로부터 나오고 있다. 이 때문에 비밀번호 관리와 이중인증 활용이 더 강력히 권고되고 있기도 하다.

라그나로커의 이런 ‘창의적’인 공격 루트 개발을 따라 많은 모방 범죄가 발생할 것으로도 예상되고 있다. 라그나로커는 랜섬웨어 공격자들 사이에서 영향력이 높은 단체로 알려져 있다. 이들은 가상기계를 설치해 랜섬웨어 공격을 실시하는 첫 번째 단체였고, 메이즈(Maze)조차 이 기법을 따라하는 모습을 보여주기도 했다.

비밀번호 관리는 좀처럼 해결되지 않는 보안 업계의 난제 중 하나로 최근에는 ‘비밀번호 관리 프로그램을 사용하라’는 것이 권장되고 있다. 그 전에는 ‘비밀번호를 자주 바꾸라’ 혹은 ‘어려운 비밀번호를 설정하라’는 것이 권장사항이었다. 또한 ‘같은 비밀번호를 여러 서비스에 중복해서 사용하지 말라’거나 ‘이중인증 옵션을 활용하라’는 것도 널리 권장된 바 있다. 그러나 그 어떤 것도 이렇다 할 개선을 보여주지 못하자 ‘비밀번호 관리 프로그램’이 권고되고 있는 상황이다.

3줄 요약
1. 라그나로커 랜섬웨어 운영자들, 협박 내용을 페이스북 광고에 담는 대담함 선보임.
2. 피해자는 캄파리라는 이탈리아의 국제적 술 제조사.
3. 페이스북 계정 도용해 광고 자리 하나 산 뒤 협박 내용을 공개하는 새로운 수법, 모방 범죄 뒤따를 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>