보안

골프존 데이터 훔친 ‘검은양복’, 러시아 해커?

이종현 기자
ⓒ골프존
ⓒ골프존

[디지털데일리 이종현기자] 블랙수트(Blacksute), 우리말로 검은양복이라고 지칭할 수 있는 해커에 의해 골프존의 데이터가 공개됐다. 539기가바이트(GB) 상당의 방대한 데이터다. 여기에는 골프존 회원의 개인정보도 포함돼 있는데, 골프존에 따르면 2017년 이전 가입자의 이름과 휴대전화번호가 유출됐다.

이번 사건은 여러 뒷말을 낳고 있다. 유출 자체도 문제지만 지연해서 알린 것도 비판의 도마 위에 올랐다. 마땅한 피해 보상안을 제시하지 않고 있다는 점도 지적된다. 개인정보보호위원회(이하 개인정보위)는 골프존에 대한 조사에 착수한 상태다.

갖은 논란이 지속하는 가운데 데이터를 훔쳐낸 해커의 정체에도 관심이 쏠린다. 구체적인 정체가 드러나지는 않았지만 미국 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI) 블랙수트를 로얄(Royal)이라는 해커그룹과 동일 조직일 수 있다고 의심하는 중이다. 그리고 로얄은 2022년5월 활동을 중단한 콘티(Conti)라는 랜섬그룹의 후신으로 추정되는 조직이다.

콘티는 전 세계에서 가장 활발한 활동을 펼친 러시아 기반 랜섬웨어 그룹이다. 미국 국무부가 190억원 상당의 현상금을 걸 만큼 악명높은 집단으로, 세계 각국을 대상으로 파괴적인 사이버활동을 펼쳐왔다. 그러나 2022년 돌연 활동을 중단했는데, 콘티가 러시아와 우크라이나의 전쟁 국면에서 러시아의 편에 서서 활동하는 것이 내부 반발을 사 분열되며 해산됐다.

콘티라는 조직이 와해되자 콘티에서 비롯한 여러 랜섬웨어 조직이 생겨났다. 블랙캣, 블랙바스타, 하이브 등 현재 왕성하게 활동하는 곳들이 콘티의 파생 조직으로 의심받고 있다. 로얄도 이들 중 하나다.

안랩에 따르면 로얄이 최초로 발견된 것은 2022년9월이다. 로얄은 악성코드 유포지를 검색사이트의 상단에 배치해 해당 사이트 방문자에게 랜섬웨어를 유포하는 ‘서치 엔진 옵티마이제이션(SEO) 포이즈닝(Poisoning)’ 공격을 주로 활용한 것으로 전해진다. 2023년4월에는 미국 텍사스주 댈러스 시를 공격해 도시 인프라를 마비시킨 전례가 있다.

블랙수트 랜섬웨어 노트 ⓒ트렌드마이크로
블랙수트 랜섬웨어 노트 ⓒ트렌드마이크로

그리고 블랙수트의 랜섬웨어 활동이 발견된 것은 2023년5월이다. 블랙수트는 등장 직후 암호화 도구 등에서 로얄과 많은 유사점을 공유한다는 특징이 발견됐다. 그리고 2023년11월 CISA와 FBI는 다수의 사이버보안 전문가의 의견을 반영해 블랙수트가 로얄의 브랜드 변경 조직일 수 있다는 내용의 보고서를 내놨다.

사이버보안 기업 트렌드마이크로는 로얄과 블랙수투의 랜섬웨어를 조사한 결과 90% 이상의 유사성을 찾았다고 밝혔다. 두 악성코드의 64비트 샘플에 사용된 소스코드를 비교해 보면 사용된 함수에서는 98%, BinDiff 기반 점프문에서는 98.9%, 블록에서는 99.5%의 유사성을 보였다고 밝혔다.

블랙수트는 최초 활동을 시작한 지 수십곳의 피해자를 양산해 냈다. 골프존은 블랙수트가 데이터를 공개한 15번째 기업이다. 블랙수트는 미국 소재 초등학교, 이탈리아 소매기업, 네덜란드 제조기업, 미국 대학교 및 지자체, 브라질 정부기관, 캐나다 소프트웨어(SW) 기업, 자메이가 금융기관 등 국가와 업종을 가리지 않고 공격을 펼치고 있다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널