시장 가치 443억 달러에 달하는 IT 컨설팅 그룹 액센추어가 록빗 2.0에 당해 5억 달러의 돈을 내야 할 상황에 처했다. 사업이 마비된 건 아니지만 민감한 정보가 다량으로 공격자들의 손에 넘어갔기 때문이다. 악성 내부자의 활동이 의심되고 있다.

[보안뉴스 문가용 기자] 록빗(LockBit) 랜섬웨어 갱단이 비즈니스 컨설팅 대기업인 액센추어(Accenture)를 공격해 피해를 입히는 데 성공했다고 발표했다. 액센추어는 포춘 100대 기업 중 91개 기업을 고객사로 두고 있는 대형 조직이며, 시장 내 가치가 443억 달러에 달하는 것으로 알려져 있다. 기술 컨설팅 업체 중에서는 세계에서 첫 손에 꼽힌다.

​

[이미지 = utoimage]

이런 액센추어지만 록빗의 공격으로부터 벗어날 수는 없었던 것으로 보인다. 록빗 운영자들이 액센추어의 데이터를 판매하겠다고 예고하며 다음과 같은 글을 게시한 것이다. “액센추어는 프라이버시나 보안이라는 부분에 있어서 뒤쳐졌다. (고객들에게) 제공하는 서비스는 내부자로서 우리가 목격한 것보다 좀 더 낫기를 바란다. 액센추어의 DB에 관심이 있다면 우리에게 연락하라.” 록빗 운영자들은 시간 제한을 걸어두고 있고, 그리니치 표준시 17:30:00에 파일을 공개할 것이라고 한다. 액센추어에는 5억 달러를 요구하고 있다.

액센추어도 자신들이 공격을 당했다는 사실을 인정했다. 이미 비정상적인 활동이 네트워크 내에서 벌어지고 있음을 탐지했고, 즉각 위험 요인들을 억제하고 영향을 받은 서버들을 망에서 분리해냈다고 한다. 또한 백업을 통해 시스템을 복구시켰기 때문에 사업 활동에 아무런 지장도 없었고, 클라이언트들도 전부 무사했다고 밝혔다. 그렇기에 문제는 곧 유출될 것으로 보이는 내부 정보들을 어떻게 확보하고, 이 정보의 확산을 어떻게 막느냐이다.

록빗 그룹은 최근 록빗 2.0이라는 신 버전을 들고 나타난 바 있다. 또한 최근 유행하는 것처럼 데이터를 훔치고 암호화시키는 걸 동시에 해내는, 이중협박 전략을 구사한다. 이런 방식으로 활동하는 랜섬웨어 공격자들 중 다크사이드(DarkSide)와 레빌(REvil)이 꽤 치고 나가고 있었는데, 둘 다 최근 자취를 감춘 상태다. 그러면서 록빗 2.0이 두각을 나타내기 시작했다. 이 흐름을 이어가고 싶은 듯, 록빗 운영자들은 다크웹 포럼에서 구인 광고를 공격적으로 내고 있기도 하다.

일부 보안 전문가들은 록빗이 대기업이나 주요 조직의 내부자들을 적극적으로 채용하고 있었다며 “액센추어 내부에 자신들의 세력을 심었을 가능성이 높다”고 의심하고 있다. 또한 록빗이 직접 올린 게시글에도 “as an insider”라는 표현이 등장한다. 록빗은 6TB에 달하는 정보를 빼돌렸다고 주장하고 있는데, 이러한 데이터의 양도 내부자의 공조를 의심케 한다고 한다.

외신인 블리핑컴퓨터는 첩보 전문 회사인 허드슨락(Hudson Rock)의 트위터를 인용하며 “액센추어의 직원과 파트너들이 사용하는 컴퓨터 약 2500대가 침해를 당했다”고 보도했다. 따라서 공격자들이 가져간 정보가 내부적으로 민감할 가능성이 높다. 하지만 록빗이 ‘미리보기’조차 공개하지 않은 상황에서 정보의 민감성을 확인할 방법은 없다.

얼마 전 호주의 사이버 보안 대응 센터인 ACSC는 록빗 2.0이 급증하고 있으며, 포티OS(FortiOS)와 포티프록시(FortiProxy) 제품군들을 주로 노린다고 경고한 바 있다. 이런 제품들에서 발견된 CVE-2018-13379 취약점을 익스플로잇 하는 것을 조심하라고 경고했었다. CVE-2018-13379는 SSL VPN에서 발견된 경로 조작 취약점이다. 아직 액센추어의 감염 경로에 대해서는 상세히 밝혀진 바가 없다.

3줄 요약

1. 록빗 랜섬웨어, 세계 최대 IT 컨설팅 그룹인 액센추어 감염시키는 데 성공.

2. 6TB 훔쳐냈다고 주장하며 5억 달러를 액센추어로부터 요구 중.

3. 내부자와의 공조가 의심되는 상황. 침투 방법에 대해서는 아직 알려진 바 없음.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=99784&page=1&mkind=1&kind=1)]