매일 경제

(서울=연합뉴스) 오규진 기자 = 국제 해커조직이 지난달 말 국세청을 랜섬웨어로 공격했다고 주장한 가운데, 실제 해킹이 이뤄지지 않았을 수도 있다는 분석이 나왔다.

19일 보안업계에 따르면 SK쉴더스의 화이트해커 그룹 이큐스트(EQST)는 최근 자사 블로그에 올린 게시글에서 "이미지, 관련 내용, 샘플 데이터가 현재까지도 공개되지 않고 있다"면서 이렇게 밝혔다.

SK쉴더스는 "(랜섬웨어 유포 조직은) 예고한 뒤 평균 1∼2주 안으로 유출 데이터를 공개한다"면서 "데이터 공개 예고 시점이 4월 1일이라는 점으로 미루어볼 때 '만우절 장난'으로 올렸을 가능성이 제기되고 있다"고 지적했다.

다만 "데이터를 공개하지 않고 협상을 진행할 수도 있다"면서 "협상이 제대로 성사되지 못했을 때 데이터를 공개할 가능성도 배제할 수 없다"고 강조했다.

앞서 서비스형 랜섬웨어 '락빗 3.0'(LockBit 3.0)을 유포하는 해커조직은 지난달 29일 다크웹 유출 사이트에 올린 글에서 국세청을 해킹했다고 주장하며, 관련 정보를 지난 1일 공개하겠다고 했었다.

서비스형 랜섬웨어는 전문 대행업자가 의뢰인의 주문을 받아 대신 제작한 랜섬웨어를 지칭한다.

이 가운데 락빗 3.0은 북한 연계 해커그룹으로 알려진 '비너스락커'(VenusLocker)가 즐겨 쓰는 랜섬웨어다.


3월 랜섬웨어 공격 피해는 전월 대비 약 1.78배 증가한 464건으로 집계됐다.

이 가운데 '클롭' 랜섬웨어로 발생한 피해가 104건으로 가장 많았다.

SK쉴더스는 "파일 송수신관리 솔루션 '고애니웨어'의 제로데이 취약점을 이용해 탈취한 정보 가운데 일부가 공개된 데 따른다"고 분석했다.

락빗(98건), 블랙캣(33건), 로열(31건), 비안리안(30건)이 그 뒤를 이었다.

락빗 랜섬웨어 피해는 전월 대비 약 26.8％ 줄어들었다.

국내에선 랜섬웨어 가운데 말록스, 글로브임포서터, 네바다, 락빗 등의 공격이 두드러지는 것으로 나타났다.

SK쉴더스는 중소기업을 대상으로 이메일로 첨부파일을 실행하도록 유도하는 '락빗 2.0'(LockBit 2.0)이 계속 발견되고 있다며 주의를 당부했다.

회사는 "이력서로 위장하기 위해 실행 파일에 한글 문서 아이콘을 사용하고, 파일명과 확장자 사이에 많은 공백을 두고 있다"고 설명했다.

최근 다크웹에 공개된 맥 운영체제(OS)용 락빗 랜섬웨어에 대해선 "전체적인 기능과 로직을 봤을 때 윈도, 리눅스 기반인 기존 락빗을 맥 OS에 맞게 변형하고 있는 것으로 보이며 테스트 또는 베타 버전으로 추정된다"고 덧붙였다.

acdc@yna.co.kr(끝)