"국내기업 겨냥" 새롭게 등장한 랜섬웨어 조직 '데브맨'

[디지털데일리 김보민기자] 랜섬웨어 공격이 거세지고 있는 가운데, 신규 위협 그룹 '데브맨(Devman)'이 국내 기업을 주목하고 있다는 분석이 나왔다.

29일 관련 업계에 따르면, SK쉴더스는 사이버 위협 분석 보고서 'EQST 인사이트(Insight)'를 통해 지난 5월 전 세계 랜섬웨어 피해가 484건 발생했다고 밝혔다. 전월과 비교했을 때 12% 줄었지만, 주요 랜섬웨어 소스코드 유출 등 변종과 신규 조직이 등장하고 있다.

이 가운데 신규 위협 그룹 중 '데브맨(Devman)'이 주목을 받고 있다고 강조했다. 데브맨은 지난 4월 첫 등장해, 케냐의 공공 연금 기구를 공격하는 등 데이터 탈취 공격에 속도를 올리고 있다. 보고서 기준으로, 지금까지 다크웹 유출 사이트 등에 총 44건의 피해자 정보를 게시했다.

보고서에 따르면, 데브맨은 처음 등장했을 당시 '마이라이트업스(My WriteUps)' 페이지에 공격에 사용한 소프트웨어 취약점과 패스워드 등을 단계별로 설명하는 모습을 보였다. 아울러 자체 랜섬웨어가 아닌 기존에 나온 다른 그룹의 랜섬웨어를 공격에 활용했고, 자체뿐만 아니라 다른 랜섬웨어 그룹의 유출 사이트에도 정보를 게시하기도 했다.

데브맨이 사용한 다른 그룹의 랜섬웨어로는 킬린(Qilin), 드래곤포스(DragonForce), 랜섬허브(RansomHub)가 있다. 자체 랜섬웨어인 '데브맨 랜섬웨어'를 악용하기 시작한 시점은 5월로 추정된다.

데브맨은 국내 기업도 주목하고 있는 것으로 나타났다. SK쉴더스는 "데브맨 그룹은 주로 X(옛 트위터)에서 활동하며, (이곳에서) 개발 중인 랜섬웨어 서비스 페이지나, 공격 예고 글, 자체 제작 랜섬웨어 테스트 동영상 등 자신을 과시한다"며 "피해자를 바로 공개하지 않고 기업 소속 국가, 어떤 분야 기업인지를 선공개하곤 하는데, 그중에는 국내 기업도 포함돼 있다"고 말했다. 이어 "정확한 피해 규모나 요구한 몸값은 공개되지 않고 이미 비용을 지불한 것으로 확인된다"고 부연했다.

한편 한국을 겨냥한 랜섬웨어 공격은 거세질 전망이다. 지난 5월에는 5월 리브랜딩을 마친 노바(Nova) 위협 그룹이 국내 대학교를 공격해 내부 문서, 보고서, 포털 사이트 소스코드, 데이터베이스, 학생 정보 등을 탈취했다고 주장했다. 이달에는 탈취 데이터가 공개됐는데, 개인정보가 아닌 포털 사이트 소스코드와 데이터베이스 관련 정보만 확인됐다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -