미국 법무부가 미국 현지시간 1월 26일, 전 세계 80여 개국의 병원, 학교, 금융기관 등을 대상으로 랜섬웨어 공격을 벌여 막대한 돈을 갈취한 해킹 네트워크 ‘하이브(Hive)’를 폐쇄하는데 성공했다고 발표했다.

관련해 구글 클라우드 맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트(John Hultquist)는 “하이브 네트워크의 폐쇄가 전반적인 랜섬웨어 공격을 현저하게 감소시키지는 않겠지만, 의료 시스템을 공격해 생명을 위험에 빠뜨리기도 했던 하이브에는 분명한 타격이었을 것이다. 안타깝게도 랜섬웨어 문제의 중심에 있는 범죄 시장은 하이브의 경쟁사들이 하이브 폐쇄 이후에도 이를 대신해 유사한 서비스를 제공할 것이라고 보장한다. 하지만 이들도 이번 미 법무부의 발표 이후 자신들의 랜섬웨어가 병원을 타깃으로 하는 공격에 사용되는 데 있어 전보다 신중을 가할 것으로 예측된다”고 밝혔다. 

이어 “이 같은 행동은 랜섬웨어 운영에 마찰을 가중시킨다. 하이브는 그룹을 재형성하고 툴을 새롭게 개발하며 심지어 리브랜딩을 거쳐야 할 수도 있다. 현실적으로 체포가 불가능하다면 전술적 해결책과 보다 더 철저한 방어에 집중해야 한다. 해커 집단의 피난처가 되고 있는 러시아와 끈질기도록 탄력적인 사이버 범죄 시장을 해결할 수 있을 때까지는 이것이 우리의 초점이 되어야 할 것”이라고 말했다.

구글 클라우드 맨디언트 수석 매니저 킴벌리 구디(Kimberly Goody)는 "지난해 하이브는 맨디언트가 직접 관찰한 사고 대응 작업에서 가장 많이 확산된 랜섬웨어 계열로, 맨디언트가 대응한 랜섬웨어 침투의 15% 이상을 차지했다. 하이브의 피해 조직은 여러 국가에 걸쳐 있었지만, 이 중 미국이 가장 큰 피해를 입었으며 피해를 입은 공공 기관의 50%도 미국 기반이었다. 이 랜섬웨어 공격의 배후에 있는 공격자들은 2022년 중반부터 러스트(Rust)로 랜섬웨어를 재작성하며 지속적으로 개발을 이어 나갔다. 이 과정은 분석을 방해하고 탐지를 회피하기 위해 진행된 것으로 추측된다”고 전했다. 

더불어 “하이브 랜섬웨어의 등장 이후 여러 공격자가 해당 랜섬웨어를 사용했지만, 맨디언트 데이터에 의하면 지난 1년 동안 이를 가장 많이 사용한 그룹은 UNC2727이었다. 이들은 주로 병원 등 의료 분야를 겨냥해왔다”며 “물론 하이브가 UNC2727 툴킷의 유일한 랜섬웨어는 아니었다. 맨디언트는 과거 이들이 콘티(CONTI)와 마운트락커(MOUNTLOCKER)를 포함한 다른 랜섬웨어를 사용하는 것도 확인한 바 있다. 이는 몇몇 공격자들이 광범위한 랜섬웨어 생태계 내에서 다른 브랜드로 쉽게 전환할 수 있는 관계를 이미 형성했음을 보여주는 사례”라고 설명했다.

★정보보안 대표 미디어 데일리시큐!