S2W가 지난 10일 일본 후쿠오카에서 열린 침해사고 대응-예방 컨퍼런스 FIRST 2024에서 세계 최대 랜섬웨어 그룹 록빗(LockBit)의 공격 수법에 대해 공개했다.
FIRST는 1990년에 설립된 국제 비영리협회로 컴퓨터 보안·사고 대응팀, 제품 보안·사고 대응팀, 공공·민간·학계의 독립 보안 연구자 등 100여개 국가에서 600개 이상의 팀으로 구성됐다. 올해 FIRST 컨퍼런스는 36회째다.
이번 컨퍼런스에서 양희성 S2W 위협인텔리전스 센터 연구원은 '록빗 그룹의 무기고 분석(Dissecting the Arsenal of the LockBit Group)'을 주제로 발표했다.
록빗은 서비스형 랜섬웨어(RaaS) 형태로 조직을 운영한다. 블랙배터(BlackMatter) 랜섬웨어, 콘티(Conti) 랜섬웨어 코드 등 다수 제휴사를 고용해 마치 기업처럼 활동한다. 지난해 기준 전체 랜섬웨어 피해자(4189명) 중 약 26.7%(1118명)이 록빗에 당했다.
특히 록빗은 영국 국가보건서비스(NHS)를 공격해 마비시킨 혐의를 받고 있으며 미국 보잉사(Boeing)를 공격해 내부 자료를 온라인에 공개하기도 했다. 영국 국가범죄수사청(NCA)을 포함한 10개국의 수사기관이 지난 2월 록빗을 대상으로 무력화 작전을 진행했다. 수사기관 공조로 록빗은 공격 인프라에 큰 피해를 입었으나 나흘이 지난 시점에 부활했다고 밝혀졌다.
조재학 기자 2jh@etnews.com