월드 릭스, 타깃조직 내부 네트워크에서 민감한 데이터 자동으로 추출하는 맞춤형 탈취 도구 사용
사이버 범죄 조직인 헌터스 인터내셔널(Hunters International)이 기존의 랜섬웨어 공격 방식을 중단하고, ‘월드 릭스(World Leaks)’라는 새로운 이름으로 데이터 탈취와 협박에 집중하는 전략적 전환을 선언했다. 이는 사이버 위협의 양상이 변화하고 있음을 보여주는 사례로, 범죄 조직들이 수익성과 단속 리스크를 고려해 공격 수법을 진화시키고 있다는 점에서 주목된다.
헌터스 인터내셔널(Hunters International)은 2023년 말 처음 등장해 짧은 시간 안에 강력한 랜섬웨어 공격으로 악명을 떨쳤다. 이 조직은 윈도우, 리눅스, FreeBSD, SunOS, ESXi(VMware 서버) 등 다양한 운영체제를 대상으로 공격을 감행했으며, x64, x86, ARM 아키텍처까지 폭넓게 지원하는 등 높은 기술력을 보였다. 대표적인 피해 사례로는 타타 테크놀로지(Tata Technologies), 캐나다 자동차 유통 기업 오토캐나다(AutoCanada), 미국 연방보안관국(U.S. Marshals Service), 일본 광학 기업 호야(Hoya), 미국 해군 하청업체 Austal USA, 오클라호마주의 대형 비영리 의료기관 인테그리스 헬스(Integris Health) 등이 피해를 당했다.
헌터스 인터내셔널은 2024년 11월 17일 수익성 악화와 정부의 단속 강화 등을 이유로 활동 중단을 발표했지만, 이후에도 활동을 이어갔다. 2025년 1월 1일에는 월드 릭스(World Leaks)라는 새로운 조직명을 내걸고 데이터 탈취 및 협박에 초점을 맞춘 새로운 공격 활동을 시작했다. 사이버보안 기업 Group-IB는 이번 전환이 전통적인 랜섬웨어 공격 방식의 한계와 리스크를 인식한 결과라고 분석했다.
◇맞춤형 탈취 도구로 전략 바꾼 월드 릭스, 암호화 아닌 데이터 탈취후 협박에 집중
월드 릭스의 핵심 전략은 타깃조직의 내부 네트워크에서 민감한 데이터를 자동으로 추출하는 맞춤형 탈취 도구를 사용하는 것이다. 이 도구는 이전 헌터스 인터내셔널(Hunters International)이 사용하던 'Storage Software'의 진화된 버전으로 보이며, 수집한 데이터를 체계적으로 정리하고 외부로 유출하는 데 최적화돼 있다. 또한, 이 도구는 SOCKS5 프록시를 통해 통신을 은폐함으로써 탐지를 어렵게 만드는 기능도 포함돼 있다.
월드 릭스(World Leaks)는 전통적인 파일 암호화를 사용하지 않고, 오로지 탈취한 데이터를 유출하겠다는 협박을 통해 피해자로부터 돈을 요구한다. 이러한 수법은 최근 BianLian, DonutLeaks 등 다른 범죄 조직들도 채택하고 있는 방식으로, 점차 확산되는 추세다.
월드 릭스(World Leaks)의 변화는 기업들이 기존 랜섬웨어 대응 전략만으로는 더 이상 충분하지 않다는 점을 시사한다. 기존에는 파일 암호화에 대비해 백업 시스템을 강화하는 방식이 주된 대응 방법이었지만, 이제는 중요한 데이터를 사전에 탈취당하지 않도록 방지하는 보안 전략이 중요해지고 있다.
사이버 보안 전문가들은 이와 같은 데이터 기반 협박 공격에 대응하기 위해 침입 탐지 시스템(IDS)과 정기적인 보안 점검을 강화할 것을 권고했다. 특히, 직원들의 보안 인식을 높이고, 정보 유출 사고 발생 시 대응할 수 있는 사전 계획을 마련하는 것이 중요하다. 공격 이후 기업 이미지와 법적 대응까지 고려한 종합적인 사고 대응 전략도 필수적인 요소로 지적되고 있다.
헌터스 인터내셔널(Hunters International)의 월드 릭스(World Leaks) 전환은 사이버 위협이 빠르게 진화하고 있음을 보여주는 사례다. 이에 따라 조직들도 방어 전략을 지속적으로 개선하고, 민첩하게 대응할 수 있는 역량을 갖추는 것이 필수적이다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[人사이트]데이비드 셰퍼드 일루미오 아태 부사장, “사이버 침해 100% 막을 수 없다면…'세분화'로 피해 최소화”](https://img.etnews.com/news/article/2025/04/06/news-p.v1.20250406.870169a9f46a400183e7664783f9a077_P3.jpg)
![[AI 인사이트] 똑똑한 AI의 그늘, 감춰진 편향성](https://www.koreadaily.com/data/photo/202504/07/4933fa9e-344a-4323-9cad-59919389c266.jpg)
