[디지털데일리 김보민기자] 사이버 공격 조직 '록빗(LockBit)'이 지난해 말부터 활동을 재개하려는 움직임을 보인 것으로 나타났다. 국가 수사 작전이 성공한 이후 서비스형랜섬웨어(RaaS) 사업 운영에 차질이 생긴 모습을 보였지만 유사 공격 기법을 활용한 사례가 포착되면서 부활을 예측하는 목소리가 제기되고 있다.

1일 보안 업계에 따르면, SK쉴더스 화이트해커그룹 EQST는 최근 '록빗의 새로운 움직임'이라는 이름으로 보고서를 발표했다. 보고서에 따르면 올해 2월 랜섬웨어 피해 사례 수는 1월(722건) 대비 48% 증가한 1067건을 기록했고, 클롭(Clop)·블랙바스타(BlackBasta) 등 신흥 랜섬웨어 조직의 활동이 활발했다. 국내에서는 자동차 부품 제조업체가 랜섬웨어 조직 링스(Lynx)의 공격을 받는 사고가 발생했다.

SK쉴더스 EQST는 위협 규모로 봤을 때 클롭·랜섬허브·아키라 등 조직들의 활동이 활발했던 것은 사실이나, 록빗 또한 지난해를 기점으로 재건 움직임에 돌입해 주목할 필요가 있다고 시사했다.

EQST는 "록빗은 2024년 11월 러시아 해킹 포럼에서 활동하는 운영자 '록빗섭(LockBitSupp)' 메신저 상태 메시지를 통해 '록빗4.0(LockBit 4.0)'에 대해 언급했다"며 "해당 글에는 4.0 버전을 홍보하는 문구와 파트너로 가입할 수 있는 다크웹 페이지 링크 5개가 공개됐고, 예상보다 빠르게 움직임이 확인됐다"고 말했다. 이어 "홍보 글 게시 이후 록빗4.0로 추정되는 랜섬웨어가 여럿 발견됐고, 실제 피해 사례도 확인됐다"고 부연했다.

록빗은 2019년 처음 포착된 랜섬웨어 조직으로, 피해자 네트워크가 악성 소프트웨어(SW)에 감염되면 데이터를 도난하고 시스템을 암호화하는 방식으로 공격을 가해왔다. 로그를 삭제해 피해 복구 능력을 방해하는 것 또한 이들의 기법 중 하나다. 랜섬웨어 파트너와 고객을 모집하며 RaaS 사업의 강자라는 별명이 붙기도 했다. 지금까지 총 2000건 이상 공격을 가해 경제적 피해를 가한 것으로 추산되고 있다.

그러던 중 지난해 2월 미국 연방수사국(FBI)과 유로폴을 비롯한 여러 수사 기관들이 국제 공조를 통해 록빗 인프라를 무력화하는 사이버 작전 '크로노스 오퍼레이션(Chronos Operation)'을 성공시키며 기세가 꺾이기 시작했다.

당시 록빗이 운영하는 주요 서버 인프라는 압수됐고, 복호화 키와 운영자 신상이 공개되면서 활동에 영향을 받은 것이다. DLS(Dedicated Leak Site)에 대해서도 폐쇄 조치가 내려졌다. DLS는 공격 대상에게 탈취한 정보를 가지고 협박한 뒤, 협상에 응하지 않을시 데이터를 공개하기 위한 웹사이트다. 이후 록빗은 활동량이 줄어들며 매달 10건 내외 피해자를 업로드하는 등 운영에 생긴 모습을 보였다.

이러한 분위기는 록빗이 차기 랜섬웨어 '록빗4.0' 출시 소식을 알리면서 반전됐다. 록빗4.0은 동일한 랜섬노트(피해자에게 몸값을 요구하기 위해 생성하는 메시지 등)를 기반으로 작동하지만 블랙(Black)과 그린(Green)이라는 두 가지 버전으로 분류되고 있다. 록빗은 매번 버전을 변경하며 랜섬웨어를 분류해왔는데, 이번 4.0은 기존에 사용하던 버전명을 사용했다는 점이 주목된다.

재건 움직임 속, 실제 록빗 조직과의 연계 공격을 포착했다는 연구 결과가 나오기도 했다. 포어스카우트리서치(Forescout Research)는 올 3월 포티넷 방화벽 취약점을 악용한 랜섬웨어 공격을 확인했다며, 배후로 록빗 연계 해커그룹을 지목했다. 분석에 다르면, 해커그룹 '모라(Mora)_001'은 포티넷 방화벽을 통해 기업 네트워크에 침입했고, 맞춤형 랜섬웨어 '슈퍼블랙(SuperBlack)'을 배포 중이다.

두 가지 취약점(CVE-2024-55591·CVE-2025-24472)이 공격에 활용된 것으로 알려졌는데, 해커그룹은 록빗과 연관돼 있을 가능성이 점쳐진다. 특히 공격자가 랜섬노트에 록빗이 사용한 것과 동일한 톡스 아이디(TOX ID)를 포함했다는 점을 이유로 들었다. 톡스는 랜섬웨어 파일 등을 제공하는 사이트로 알려져 있다. 포어스카우트리서치는 "공격자는 록빗 생태계와 연관성을 보일 뿐만 아니라, 기회주의적 공격 요소를 혼합해 독특한 운영 방식을 보이고 있다"고 말했다.

한편 보안업계에서는 록빗이 국제 수사망에 포위된 이력이 있는 만큼 예전만큼 기세를 펼치기 어렵겠지만, 국내를 겨냥한 공격을 가한 사례가 있는 만큼 주시가 필요하다는 의견이 나온다. 록빗은 국제 수사로 인해 공격 인프라가 무력화됐다는 소식이 나온 뒤 5일 만에 새로운 다크웹 유출 사이트를 공개하며 활동을 재개하기도 했다.

EQST 측은 록빗4.0 랜섬웨로 인한 피해를 예방하기 위해 ▲공격표면감소(ASR) 규칙 활성화로 비정상 프로세스 차단 ▲행위 기반 탐지 솔루션으로 악성 행위 차단 ▲호스트 방화벽을 통해 불필요한 통신 제한 ▲백업 복사본 삭제 프로세스 및 파일 암호화 차단 ▲백업 복사본의 경우 별도 네트워크 및 저장소에 분산 등의 조치가 필요하다고 제언했다.