글로벌 보안 기업 맨디언트(Mandiant)와 구글 위협 인텔리전스 그룹(GTIG)이 최근 랜섬웨어 조직 클롭(Clop)과 연관성이 제기된 공격 행위자를 집중 추적하고 있다. 수백 개의 해킹된 계정을 활용한 대규모 이메일 캠페인이 포착되면서, 전 세계 기업과 기관에 심각한 경각심을 불러일으키고 있다.

FIN11, 금전 목적 공격 전면에

이번 캠페인에서 맨디언트와 GTIG는 최소 한 개 계정이 악명 높은 위협 그룹 FIN11과 직접 연계된 정황을 확인했다. FIN11은 장기간에 걸쳐 랜섬웨어 배포와 금전 갈취 공격을 감행해온 조직으로, 공격 대상의 중요 데이터를 압박 수단으로 삼는 수법으로 잘 알려져 있다. 전문가들은 이번 활동 역시 금전적 동기와 긴밀히 맞물려 있다고 지적한다.

클롭 인지도 악용 가능성

악성 이메일에는 공격자 연락처가 포함돼 있었으며, 해당 정보는 클롭의 데이터 유출 사이트(DLS)에도 게시돼 있는 것이 확인됐다. 이로 인해 FIN11이 클롭의 인지도를 악용해 자신들의 작전을 위장하거나 정당화하려는 전략을 구사하고 있을 가능성이 제기된다. 이는 사이버 범죄자들이 서로의 브랜드를 차용해 피해자 압박을 극대화하는 전형적 수법이라는 분석이다.

다만 GTIG는 이번 활동이 실제로 클롭과의 직접적 연계성을 입증할 만한 결정적 증거는 확인하지 못했다고 밝혔다. 사이버 범죄 조직 간 모방과 혼선을 노린 행위가 빈번하게 발생하는 만큼, 단순한 인용만으로 연계를 단정하기 어렵다는 것이다. 이에 따라 피해 조직이 자체적으로 환경을 조사하고 공격 활동의 증거를 확보하는 대응이 무엇보다 중요하다는 점이 강조된다.

보안 전문가들은 “이번 사안은 단순한 랜섬웨어 공격 이상의 위협”이라며, “글로벌 기업과 공공기관 모두 공격자들의 혼란 전술을 간파하고, 정밀한 위협 헌팅 및 선제적 보안 조치를 강화해야 한다”고 경고했다. 사이버 공간에서의 위협이 더욱 교묘해지는 가운데, 기업의 대응 지연은 곧바로 막대한 금전 피해와 신뢰도 상실로 이어질 수 있다는 우려가 커지고 있다.