하나 둘 꼬리 밟히는 사이버범죄 현장… 블랙바스타 이어 RAMP도 '덜미' 작성일 01-30 6 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="5dUNFfu5CB"> <figure class="figure_frm origin_fig" contents-hash="5b0b588274dc1e79b0951532c5be3d96e6c35b73c24c2d0c7e610d7daa7a47a4" dmcf-pid="1Juj3471Tq" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/30/552796-pzfp7fF/20260130111351791iclk.jpg" data-org-width="640" dmcf-mid="XBVrqR2uWK" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/30/552796-pzfp7fF/20260130111351791iclk.jpg" width="658"></p> </figure> <p contents-hash="74e309deef74dd9509a81dd5e744b6d7296fe8c4860a7f6be2de7f8dc23dcf70" dmcf-pid="ti7A08ztTz" dmcf-ptype="general">[디지털데일리 김보민기자] 러시아 연계 사이버범죄 포럼 '램프(RAMP)'가 미국 연방수사국(FBI) 제재를 받았다는 소식이 나왔다. 올해 랜섬웨어 조직 '블랙바스타' 주요 운영자들이 덜미를 잡힌 가운데 국제 수사가 본격 성과를 내는 분위기다.</p> <p contents-hash="4be0fbd63ee411de674d3f276828173ed25ae13410c5347dc0678e5316bf0851" dmcf-pid="Fnzcp6qFW7" dmcf-ptype="general">30일 보안업계에 따르면, 러시아 사이버범죄 포럼 RAMP 웹사이트에 접속하면 'FBI에 의해 압수됐다'는 안내문이 게시돼 있다. 미 법무부는 이번 조치에 대해 공식 입장을 밝히지 않고 있다.</p> <p contents-hash="0d54e8b681a90a17bf4e597d61ff18d3f0bda92b1f42da52a55f5e1f413ecd61" dmcf-pid="3LqkUPB3vu" dmcf-ptype="general">압수 조치에 대한 진위 여부를 확인하기 어렵다는 의견도 있지만, 일각에서는 사이트 활동 자체가 중단된 것에 의의를 두는 시각도 있다. 비핑컴퓨터 등 외신은 "(현 RAMP) 도메인을 보면 FBI가 도메인을 압수했을 때 사용하는 서버로 변경돼 있다"고 주장했다. 보안기업 레코디드퓨처가 운영하는 더레코드도 "도메인네임시스템(DNS) 기록을 보면 RAMP 사이트가 FBI 검거에 사용되는 도메인으로 리디렉션되고 있다"고 보도했다.</p> <div contents-hash="86165f11ecfb5fec8a79dc87828497d57e0659b32fb3d53eb69886ab89c09e1b" dmcf-pid="0oBEuQb0TU" dmcf-ptype="general"> 웹 해킹과 취약점 정보를 공유하는 XSS포럼에는 RAMP 압수 수색 사실을 알리는 글이 올라오고 있다. '스톨맨(Stallman)'이라는 닉네임을 쓴 한 사용자는 "경찰이 RAMP 포럼을 장악해 유감이다"라며 "이런 날이 오지 않기를 바랐지만 누구나 감수해야 할 위험"이라고 말했다. </div> <figure class="figure_frm origin_fig" contents-hash="a26ffe21a306cb8a7e1588d82fcbffb6366f054e0ffdfc7b04323bf07059c09e" dmcf-pid="pxFLZK3Glp" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/30/552796-pzfp7fF/20260130111353111oayq.jpg" data-org-width="640" dmcf-mid="ZP1iHBtWSb" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/30/552796-pzfp7fF/20260130111353111oayq.jpg" width="658"></p> </figure> <p contents-hash="031de3de998c720ee5b31f0081c351436713b57e19821c05d7cabd2828771a77" dmcf-pid="UM3o590Hh0" dmcf-ptype="general">RAMP는 XSS포럼에서 랜섬웨어 공격에 대한 홍보가 금지된 이후 2021년 7월 개설된 포럼이다. 당시 RAMP 운영진은 랜섬웨어 취약점과 서비스를 홍보할 수 있는 "몇 안 남은 곳"이라고 홍보했고 이후 서비스형랜섬웨어(RaaS) 조직들이 조직원을 모집하거나 네트워크 접근 권한을 사고 팔기 위해 포럼을 활용했다. 피해자 정보와 유출 정보를 게시하는 용도로도 사용했다. 러시아어뿐만 아니라 영어, 중국어 등 다국어 사용자들이 참여했다는 특징이 있다.</p> <p contents-hash="33ff9ab09d69e9128e9f289425f95453ac319664d7daff33f98249992602a89c" dmcf-pid="uR0g12pXh3" dmcf-ptype="general">과거 '록빗(Lockbit) 2.0'과 같은 주요 범죄조직 제휴 프로그램과, ESXi 기반 캠페인 등 신규 공격 버전 또한 RAMP에서 이름을 알렸다. RaaS 시장을 활성화한 주역이었다는 평가를 받는 이유다. </p> <p contents-hash="cfc2af107cd853328c1a96c00fbd17a43094e49c58723abb0924501be0d02b7d" dmcf-pid="7epatVUZTF" dmcf-ptype="general">RaaS는 사이버 범죄자가 랜섬웨어를 배포하고 관리하는 데 필요한 도구와 서비스를 제공하는 사업 모델이다. RaaS 시장은 랜섬웨어 공급자가 도구와 인프라를 만들면 다른 해커에게 이를 판매하고 임대하는 방식으로 운영된다. 공급자는 월 정액제로 구독료를 청구하거나 제휴사 수익을 일정 비율 가져가는 방식으로 수익을 내왔다.</p> <p contents-hash="0c67febebda3033eed6fbec3f5f0805340015ddefeba5b8ac93b0cc252e7897d" dmcf-pid="zdUNFfu5St" dmcf-ptype="general">FBI 압수가 사실이라면 사법당국은 해당 포럼 운영자와 관련된 이메일 주소, 인터넷프로토콜(IP) 주소, 개인 메시지 등 범죄 사실을 입증할 데이터에 접근할 수 있게 된다. 위반 사실이 확인된 사용자에 대해서는 체포 등 조치가 취해질 가능성도 있다. 국내 사이버보안 업계 관계자는 "FBI 측 공식 입장이 필요한 시점"이라고 말했다.</p> <p contents-hash="5b19c6a5193d68c3a7bc7f5c342f9fc463f07d2ee76dcc3d42464bda46624a4f" dmcf-pid="qJuj3471y1" dmcf-ptype="general">사이버 범죄를 저지했다는 소식은 올해 초부터 이어지고 있다. </p> <p contents-hash="dcd36cd5d2d67c56bbb479934ca66b43dd03fe6e0790ef323ca87eaee3925376" dmcf-pid="Bi7A08ztS5" dmcf-ptype="general">일례로 우크라이나와 독일 사법당국은 최근 블랙바스타에 근무한 혐의를 받은 우크라이나인 2명을 확인했다. 블랙바스타 수장으로 알려진 러시아 국적 올레그 예브게니예비치 네페도프도 유럽연합(EU) 수배자 명단과 인터폴 적색수배자 명단에 올랐다. </p> <p contents-hash="50598ff0f7ccc90614ae9918ff4622ab9c4eb763d2fcf84df7c8dad8095e0a12" dmcf-pid="bnzcp6qFhZ" dmcf-ptype="general">당시 우크라이나 경찰은 "용의자들은 보안 시스템에 대한 기술적 해킹을 전문으로 했고, 랜섬웨어를 이용한 사이버 공격을 준비하는 데 관여했다"고 밝혔다. 블랙바스타는 한국 기업을 노린 조직이기도 했다.</p> <p contents-hash="eb72a7196cff0f4de04a2a704dfd6f5f4637e60605fa12f970d0ae0630a50da6" dmcf-pid="KLqkUPB3hX" dmcf-ptype="general">다만 단 한번 제재에 성공했다 하더라도 랜섬웨어 생태계를 저지하기 쉽지 않을 것이라는 관측도 나온다. 미국 국가정보국(ODNI) 산하 사이버위협 정보통합센터 로라 갈란테 전 국장은 "단 한 번의 작전으로 랜섬웨어를 영구적으로 근절할 수 없다"며 "대신 정기적으로 인프라를 차단하고 랜섬웨어 활동과 자금 세탁을 감시하는 곳을 지정해 작전 빈도와 범위를 늘려야 한다"고 제언했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 인하대, EUV 포토레지스트 안정성·감도 동시 개선 기술 제시 01-30 다음 ‘럭비 AG 동메달리스트’ 윤태일, 장기 기증으로 4명 생명 살려 01-30 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
