[IT돋보기] 카세야 공격 해커 '레빌' 협상금 요구…"792억원 암호화폐 내놔"


다크웹 페이지에 관련 게시글 올려…"1시간 이내 복구 가능하다" 강조하기도

쏟아지는 정보통신기술(ICT) 현안을 잠시 멈춰 서서 좀 더 깊숙히 들여다봅니다. 'IT돋보기'를 통해 멈춘 걸음만큼 보다 심층적으로 분석하되, 알기 쉽게 풀어쓰겠습니다. [편집자주]

[아이뉴스24 최은정 기자] 최근 미국 IT관리 솔루션 업체 카세야에 공급망 공격을 감행한 것으로 추정되는 러시아 해커그룹 '레빌(REvil)'이 7천만 달러(한화 약 792억원)에 달하는 암호화폐를 협상금으로 제시한 것으로 나타났다.

5일(한국시간) 레빌 조직은 자신들이 운영하는 다크웹 페이지에 "(해당 금액을 지불할 경우) 모든 피해 기업들의 암호화된 파일을 복호화하는 도구를 제시하겠다"는 내용의 게시글을 올렸다.

그러면서 "이를 통해 1시간 내로 이번 공격으로 인한 피해를 복구할 수 있을 것"이라고 강조했다. 또 이에 관심이 있는 피해 기업은 자신들이 PC 등에 남긴 '리드미(readme)' 파일을 참고해 컨택하라고 덧붙였다.

5일(한국시간) 해커그룹 레빌이 다크웹 페이지에 올린 게시글 [사진=캡처]

이번 게시글에서 레빌은 지난 2일(현지시간) 서비스 제공 업체(MSP) 등을 겨냥한 사이버 공격을 감행해 1백만개 이상 시스템을 감염시켰다고 밝혔다.

앞서 지난 2일 카세야는 자사 IT 전산 자원 관리 플랫폼인 'VSA'가 해커들의 랜섬웨어 공격을 받았다고 시인했으며, VSA를 사용하는 기업들의 피해 예방을 위해 자사 온라인 서비스 서버를 닫는 등 조치했다고 밝혔다.

국내에선 한국인터넷진흥원(KISA)이 카세야의 VSA가 랜섬웨어 유포 경유지로 악용됐다며 사용 중단 등을 권고하는 긴급 보안 공지를 지난 3일 올리기도 했다. KISA 측에 따르면 현재까지 신고된 국내 피해 사례는 없는 상황이다.

서현민 에스투더블유랩 수석연구원은 "공급망 공격으로 침투한 해커가 주요 서버에 접근하지 못하도록 기업은 특수 계정관리, 시스템 망분리 등 피해를 최소화할 수 있도록 방어 라인을 구축해야 한다"고 말했다.

이어 "공격자의 전술·기술·절차(TTP) 관점에서의 관제를 통해 랜섬웨어 공격 형태인 액티브 디렉토리(AD) 서버 권한 탈취, 데이터 유출, 파일 암호화 등을 빠르게 포착할 필요가 있다"고 했다.

/최은정 기자(ejc@inews24.com)







포토뉴스