• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

콘티 랜섬웨어 내부 불화로 콘티의 영업 비밀 전부 공개돼 2021.08.07

콘티 랜섬웨어 공격자들이 내부 불화를 다스리지 못했다. 이에 한 파트너가 콘티의 내부 사정을 모조리 공개해 버렸다. 콘티로서도 타격이지만 보안 업계로서도 피해일 수 있는 상황이라고 한다.

[보안뉴스 문가용 기자] 콘티(Conti)라는 악명 높은 랜섬웨어 갱단 사이에서 다툼이 일어난 것으로 보인다. 콘티 운영에 관여했던 자들 중 일부가 자신에게 지급되는 돈 액수에 불만을 품고 콘티의 내부 사정과 공격 전략을 공개했고, 그 내용이 다크웹에 일파만파 퍼지는 중이라고 한다.

[이미지 = utoimage]


콘티는 현재 랜섬웨어 운영자들 사이에서 크게 유행하는 것처럼 RaaS 형태, 즉 ‘서비스형 랜섬웨어’ 방식으로 운영되고 있다. 랜섬웨어를 개발한 사람이 따로 있고, 이를 가지고 침투하는 사람, 피해자와 상담하는 사람, 암호화폐로 들어온 수입을 현금화 하는 사람 등이 전부 따로 존재하고 수익금을 약속된 비율로 나눠 갖는 구조인 것이다. 기술을 담당하는 자들이, 수족이 될 만한 자들을 부리는 구조라고 볼 수도 있다.

이런 구조로 사업이 진행되는 가운데 콘티의 핵심 운영자가 일부 파트너에게 돈을 제대로 지급하지 않는 실수를 저질렀다. 이 때문에 양측은 다크웹 포럼에서 격렬하게 부딪혔고, 결국 돈을 지불받지 못한 자가 콘티의 내부 정보를 공개하기에 이르렀다고 한다. 특히 콘티 측에서 운영하던 ‘모의 해킹 팀’과 관련된 중요 자료가 공개된 바람에 콘티 측은 적잖이 곤란한 상황에 처하게 되었다.

공개된 정보는 콘티의 코발트 스트라이트(Cobalt Strike)와 연결된 C&C 서버의 IP 주소들과 각종 공격 도구 및 훈련용 교재들이었다. 총 113MB에 달하는 아카이브로, 콘티 랜섬웨어 공격이 기술적, 전략적 차원에서 어떤 식으로 진행되는지를 파악하기에 충분하다고 한다. 이미 여러 다크웹 해커들은 물론 보안 전문가들도 다운로드 받아 분석에 들어간 상황이다.

이를 공개한 자는 자신이 한 일에 대한 대가로 불과 1500달러만 받았다고 주장했다. 이 돈이 적고 많음을 떠나, 콘티 운영자들이 명목상의 파트너들을 잔뜩 고용해 수익을 나누는 편법을 사용함으로써 각자에게 돌아가는 수당을 적게 만들고, 명목상의 파트너들에게 분배될 돈은 자기들이 가져가 결과적으로 파트너들에게 적은 돈을 지급했다고 밝혔다.

이 자료를 분석한 보안 전문가 비탈리 크레메즈(Vitali Kremez)는 자신의 트위터를 통해 “콘티 공격자들은 아테라 에이전트(Atera Agent)와 애니 데스크(Any Desk)를 피해자 시스템에 승인 없이 설치하고, 이를 통해 지속적으로 공격을 펼치므로 네트워크 보안 담당자들은 이 둘과 관련된 행위를 모니터링할 필요가 있다”고 경고했다.

크레메즈는 블리핑컴퓨터와의 인터뷰를 통해 “이번에 공개된 자료가, 현재까지 보안 업계가 밝혀낸 콘티 랜섬웨어 운영자들의 수법이나 기술력과 여러 면에서 일치한다”며 “실제로 내부 사정을 아는 자가 공개한 게 맞을 확률이 높아 보인다”고 밝히기도 했다.

트위터에서 @Pancak3로 활동하는 보안 전문가 역시 일부 IP 주소들을 공개하며 “차단하라”고 트위터를 통해 경고했다.
1) 162.244.80.235
2) 85.93.88.165
3) 185.141.63.120
4) 82.118.21.1

이러한 상황은 콘티 랜섬웨어 운영자들에게 커다란 타격이 될 것이 분명하다. 그러나 그 못지않게 보안 업계에도 위기가 닥칠 수 있다고 크레메즈는 경고했다. 콘티라는 유능한 운영자들의 ‘플레이북’이 퍼지고 있고, 다크웹의 다른 공격자들이 이를 빠르게 흡수하고 있기 때문이다. 즉 이 사건 때문에 랜섬웨어 공격자들의 상향 평준화가 이뤄질 가능성이 높다는 것이다.

랜섬웨어라는 산업 자체가 크게 팽창하면서 사이버 범죄자들 사이에서도 불협 화음이 종종 나타나고 있는 상황이다. 얼마 전에는 바북(Babuk)이라는 랜섬웨어 운영자들이 일종의 사업 아이템으로서 야심차게 기획하고 시작한 다크웹 포럼이 사이버 공격에 마비되면서 협박을 받는 일도 있었다.

3줄 요약
1. 콘티 랜섬웨어, 돈 배분하는 과정에서 꼼수 써서 파트너가 불만 폭발.
2. 한 파트너가 콘티 운영자들의 도구, 기술, 전략을 전부 공개.
3. 콘티 방어책들 나오기 시작했지만, 공격자들의 상향 평준화도 우려되는 상황.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>