전 세계에 심각한 피해를 낳은 사이버 공격을 개시했던 악명 높은 러시아 정부 산하 해커 조직 레빌(REvil)의 일부 조직원이 올해 초 체포되었다. 이후 세력이 서서히 약해졌으나 최근 들어 레빌의 부활 가능성이 제기됐다.
해외 IT 전문 매체 테크리퍼블릭에 따르면, 사이버 보안 기업 아카마이(Akamai)가 고객사 중 한 곳이 디도스 공격을 당한 사실을 전하면서 레빌의 소행일 수 있다고 주장했다.
아카마이는 공식 발표를 통해 디도스 피해를 보고한 기업의 보안 정보 대응팀(SIRT)이 레이어7(Layer 7) 공격 경고를 받았다고 설명했다.
아카마이의 고객사는 2022년 5월 12일, 보안 정보대응팀에 디도스 공격 피해 사실을 알리면서 레빌의 소행인 것 같다고 전했다.
이번 공격은 조직화된 형태로, 캐쉬버스팅 기법으로 HTTP/2 GET 리퀘스트를 연속으로 웹사이트에 보내 전체 애플리케이션을 교란하였다. 아카마이에 따르면 웹사이트의 트래픽 피크는 15kRps까지 도달하였으며 리퀘스트 중 일부는 비트코인을 요구하기도 하였다.
리퀘스트에는 비트코인을 특정 지갑 주소로 송금하면 공격을 멈추겠다는 메시지도 존재하였으며 기업에 특정 국가에서의 운영을 중단해달라는 명령도 한 것으로 밝혀졌다. 아카마이는 러시아 해킹 그룹 레빌과 비슷한 패턴을 보인 것에 주목했다. 또한, 협박 메시지의 URL에 “revil”이 이용된 것을 근거로 공격 세력이 레빌과 관련이 있다고 보았다.
아카마이 소속 SIRT 엔지니어인 채드 시맨(Chad Seaman)은 “아직은 공격 세력이 실제 레빌인지 아니면, 레빌을 모방한 다른 조직인지 확신하기 어렵다. 디도스 공격은 특히 출처를 밝히기 어렵다”라며, “이번 공격은 레빌의 지난 공격과 다른 특징을 몇 가지 보이고 있어 레빌의 소행이 아닐 수도 있지만, REvil의 공격이라고 알려진 지난 공격들조차 정말 레빌의 공격인지 알 수 없는 상황이다”라고 말했다.
한편, 아카마이는 이번 공격이 레빌의 과거 공격과 유사하지만, 기업을 공격 표적으로 삼았던 과거와는 달리 이번 공격 동기는 정치적 목적이라고 분석했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
