보안

협박받는 한화… 가장 ‘악질’인 랜섬웨어 그룹 록빗은 누구?

이종현 기자
한화의 데이터 유출을 협박 중인 록빗의 다크웹 웹사이트. 18일까지 협상에 응하지 않을 경우 모든 데이터를 공개하겠다고 한 상태다.
한화의 데이터 유출을 협박 중인 록빗의 다크웹 웹사이트. 18일까지 협상에 응하지 않을 경우 모든 데이터를 공개하겠다고 한 상태다.

[디지털데일리 이종현기자] 한화가 세계 최대 랜섬웨어 그룹으로 꼽히는 록빗(LockBit)에게 협박받고 있다. 록빗은 한화로부터 864기가바이트(GB) 상당의 데이터를 훔쳤으며, 18일까지 협상에 응하지 않을 경우 이를 모두 공개하겠다고 알린 상태다.

록빗은 전 세계에서 가장 활발하게 활동을 펼치고 있는 그룹이다. SK쉴더스의 주도로 결성된 민간 랜섬웨어 대응 협의체 KARA가 공개한 지난 1‧2분기 랜섬웨어 그룹 활동 통계에 따르면 록빗은 1분기 290건, 2분기 246건의 피해를 야기했다. 상반기 누적 피해 건수는 536건으로 블랙캣(222건), 클롭(Clop, 193건) 등 여타 그룹의 2배 이상이다.

록빗은 2019년 등장한 러시아 기반 랜섬웨어 그룹이다. 소프트웨어(SW) 기업이 제품을 판매하듯, 랜섬웨어를 서비스 형태(RaaS)로 판매하는 방식을 취하고 있다. ‘랜섬웨어의 산업화’를 주도하는 이들 중 하나다. 또 다른 러시아 기반 랜섬웨어 그룹인 콘티(Conti)의 활동이 주춤해지자 그 빈자리를 차지하며 전 세계에서 가장 많은 피해를 일으키고 있는 그룹이 됐다.

록빗은 지속해서 랜섬웨어를 업데이트하며 공격을 이어오고 있다. 2021년 2.0, 2022년에는 3.0을 내놨다. 보안 SW의 탐지를 우회하고 더 큰 피해를 일으키기 위한 고도화다. KARA는 2021년부터 록빗 2.0 랜섬웨어가 이력서 또는 저작권 사칭 메일을 통해 유포되고 있다고 지적했다. 1분기에도 지속적으로 발견되는 중이다.

지난 3월 록빗은 국세청의 데이터를 탈취했다고 주장하기도 했다. 하지만 관련 내용, 샘플을 공개하진 않았고 실제 유출도 이뤄지지 않았다. 유출 예정 일자가 4월1일, 만우절이었던 점을 감안하면 이벤트성 장난 게시글이었을 가능성, 또 협상을 통해 유출을 막았으리라는 가능성이 혼재돼 있다.

6월에는 삼성전자의 경쟁사인 대만 반도체 기업 TSMC의 데이터를 탈취했다. 록빗은 민감 데이터를 탈취했다고, 또 TSMC는 서버 설정 및 구성 정보가 유출됐지만 민감데이터는 포함되지 않았다고 각각 주장했다. 록빗은 7000만달러의 협상 금액을 제시했는데 이는 록빗 그룹이 발표한 협상 금액 중 최고치다.

2분기는 1분기에 대해 활동이 감소했는데, 랜섬웨어를 배포하는 데 관여한 혐의로 계열사 일부가 체포됐기 때문이라는 가설이 제기된다.

잉카인터넷 시큐리티 대응센터(ISARC)는 해커들이 이용하는 40여곳의 웹사이트 정보를 취합한 결과 록빗은 8월 한달간 123건의 피해를 일으켰다고 발표했다. 나머지 상위 9개 그룹이 175건의 피해를 일으켰는데, 전체의 40%가량이 록빗에 의한 피해다.

한편 록빗에 피해를 입은 것은 한화솔루션, 그중에서도 태양광 사업 부문인 한화큐셀의 중국 법인으로 알려졌다. 록빗은 한화솔루션의 데이터를 일부 공개한 상태인데 이중에는 포스코와의 기밀유지 협약(Confidentiality Agreement)도 포함돼 있다. 이는 한화 내부 자료를 비롯해 협력사 데이터도 상당수 포함돼 있을 수 있다는 점을 시사한다. 협상이 이뤄지지 않아 전체 데이터가 공개될 경우 파급력이 클 것으로 예상되는 배경이다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널