
구글 클라우드 보안 자회사 맨디언트(Mandiant)가 랜섬웨어 그룹 클롭(Clop)과 연관된 것으로 보이는 위협 행위자의 활동을 추적하고 있다고 밝혔다. 최근 해당 공격자들이 오라클 E-비즈니스(E-Business Suite) 시스템에서 데이터를 탈취했다고 주장하며 일부 오라클 고객을 대상으로 몸값을 요구하는 사례가 보고됐다.
찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 CTO는 “맨디언트와 구글 위협 인텔리전스 그룹(GTIG)은 최근 랜섬웨어 그룹 클롭과의 연관성을 주장하는 위협 행위자의 활동을 적극적으로 추적하고 있다”고 밝혔다.
맨디언트와 GTIG는 현재 수백 개의 해킹된 계정을 이용한 대규모 이메일 캠페인을 포착했으며 초기 분석 결과 이 중 최소 한 개의 계정이 금전적 이익을 목적으로 활동하는 ‘FIN11’ 그룹과 관련된 것으로 확인됐다. FIN11은 오랜 기간 랜섬웨어 배포 및 갈취 활동을 이어온 사이버 범죄 조직으로 알려져 있다.
악성 이메일에는 공격자의 연락처가 포함돼 있었으며, 맨디언트와 GTIG는 해당 연락처가 클롭 데이터 유출 사이트(DLS)에도 공개된 사실을 확인했다. 카르마칼 CTO는 “이러한 행보는 FIN11이 최근 클롭 데이터 유출 공격과 관련돼 있음을 암시하는 동시에 클롭의 인지도를 악용하고 있음을 시사한다”고 설명했다.
다만 GTIG는 이번 공격이 클롭 랜섬웨어 그룹과 직접적으로 연계되어 있다는 확실한 증거는 확인하지 못했다고 밝혔다. 카르마칼 CTO는 “금전적 동기를 가진 사이버 범죄 영역에서 위협 행위자를 식별하는 과정은 매우 복잡하다”며 “공격자들이 피해자에 대한 압박을 높이기 위해 클롭과 같은 조직을 모방하는 경우가 빈번하다”고 말했다.
맨디언트는 피해 조직이 자사 환경에 대한 조사를 실시하고 위협 행위자의 공격 활동 증거를 확보하는 등 선제적 대응에 나설 것을 권장했다.
헬로티 구서경 기자 |