랜섬웨어 조직 드래곤포스(DragonForce)가 매니지드 서비스 제공업체(MSP)를 침해하고, 원격 모니터링 및 관리(RMM) 도구인 심플헬프(SimpleHelp)를 악용해 고객 시스템에 암호화기를 배포하고 데이터를 탈취한 것으로 드러났다.
사이버보안 기업 소포스(Sophos)가 조사한 바에 따르면, 공격자는 심플헬프의 오래된 취약점인 CVE-2024-57727, CVE-2024-57728, CVE-2024-57726을 연쇄적으로 악용해 MSP의 시스템에 침투한 것으로 확인됐다. 심플헬프는 MSP들이 고객 시스템을 원격으로 관리하고 소프트웨어를 배포하는 데 흔히 사용하는 상용 RMM 도구다.
침해 경로는 MSP…고객 수십 곳까지 연쇄 피해
공격자는 우선 심플헬프를 이용해 MSP 고객 시스템에 대한 정찰을 수행했다. 이 과정에서 고객 장비의 이름, 설정 정보, 사용자 목록, 네트워크 연결 현황 등 다양한 데이터를 수집한 것으로 조사됐다.
이후 공격자는 이 정보를 바탕으로 고객 네트워크에 암호화기를 배포하고 데이터를 탈취하려 시도했으며, 일부 네트워크에서는 소포스의 엔드포인트 보안 솔루션이 공격을 차단했으나, 다수 고객은 장비가 암호화되고 데이터가 유출되는 피해를 입은 것으로 전해졌다. 이는 이중 갈취(double-extortion) 공격 수법으로, 공격자는 데이터를 암호화한 후 탈취한 정보를 미끼로 추가 협박을 가하는 방식이다.
소포스는 이번 공격에 대한 침해지표(IOC)를 공개하고, 기업들이 자사 네트워크를 방어하는 데 활용할 수 있도록 했다.
MSP 노리는 랜섬웨어 조직…심플헬프·커넥트와이즈 등 악용 잦아
MSP는 한 번의 침해만으로 다수 기업에 접근할 수 있는 공급망 구조를 갖추고 있어, 오래전부터 랜섬웨어 조직의 주요 타깃이 되어왔다. 특히 드래곤포스와 같은 일부 랜섬웨어 그룹은 심플헬프(SimpleHelp), 커넥트와이즈 스크린커넥트(ConnectWise ScreenConnect), 카세야(Kaseya)와 같은 MSP 도구에 특화된 공격 역량을 보유한 것으로 알려졌다.
이는 지난 REvil 조직이 카세야를 공격해 전 세계 1,000여 개 기업에 연쇄 피해를 준 사례처럼, 하나의 MSP 취약점이 대규모 재난으로 확산될 수 있다는 점을 다시 한번 상기시켰다.
영국 소매업체 대상 공격 이후 급부상한 드래곤포스
드래곤포스는 최근 영국 유명 소매업체들을 대상으로 한 사이버 공격으로 악명을 떨치기 시작했다. 이 조직은 마크스 앤드 스펜서(Marks & Spencer)와 코업(Co-op) 등 대형 유통업체를 공격했고, 이후 고객 정보가 대량으로 유출된 사실이 확인됐다.
블리핑컴퓨터(BleepingComputer)에 따르면, 드래곤포스는 자사의 랜섬웨어를 ‘화이트라벨’로 제공하는 랜섬웨어-서비스(RaaS, Ransomware-as-a-Service) 모델을 도입해 공격 파트너(어필리에이트)에게 자체 브랜드로 재배포할 수 있도록 지원하고 있다. 이를 통해 공격 네트워크를 확대하고 있으며, 그 영향력이 빠르게 커지고 있다.
MSP와 고객 모두 다중 방어 전략 필요
보안 전문가들은 이번 사건을 통해 MSP를 통한 공급망 공격의 위험성이 다시 한번 드러났다고 경고한다. 특히 RMM 도구의 취약점은 광범위한 파급력을 지니므로, 해당 도구를 사용하는 MSP와 고객 기업 모두 ▲즉각적인 보안 패치 적용, ▲다중 인증(MFA) 도입, ▲네트워크 분리 및 접근 통제 강화 등 선제적 보안 조치가 필요하다고 강조한다.
![[단독]온가족이 대마 장사…가입 4000명 마약플랫폼 일망타진](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202505/28/c648b776-46f4-4d3c-adb5-d1f11341ee91.jpg)
