나이트스파이어 조직, '쿼드마이너' 겨냥 공격 주장
보안 솔루션 소스코드 포함한 내부 자료 공개
쿼드마이너 "작년 사고때 유출 자료와 동일한 내용"
"과거 침해사고 조치 완료, 현재 추가 피해 없다" 입장

[이데일리 최연두 기자] 신생 랜섬웨어 조직 ‘나이트스파이어’가 최근 국내 보안업체 쿼드마이너를 상대로 금전 협박에 나선 정황이 확인됐다. 이들은 오는 11일까지 비용을 지불하지 않으면 확보한 40기가바이트(GB) 분량의 내부 데이터를 다크웹에 전면 공개하겠다고 예고한 상태다.

해커 관련 이미지(사진=생성형AI 서비스)

해당 조직이 다크웹에 올린 자료에는 쿼드마이너의 보안 제품 개발에 사용된 소스코드 등이 포함돼 있다. 이에 대해 쿼드마이너 측은 “해커가 지난해 유출한 구버전 자료를 그대로 들고와 반복적으로 협박하고 있는 것”이라며 현재는 추가 침해 정황이 없다고 밝혔다.

9일 나이트스파이어가 쿼드마이너에서 탈취했다고 주장하며 다크웹에 게재한 메모장 문서(File_List.txt)에는 쿼드마이너의 보안 솔루션을 제작·실행하는 데 필요한 각종 개발용 파일과 설치 자료 목록이 담겼다.

쿼드마이너 측은 해당 파일이 창업 초기 데모 버전으로 현재 사용하는 파일들이 아니라는 입장이다. 쿼드마이너 측은 “자료에 담긴 소스코드 표현 방식이나 파일 주석 등을 보면 개발 초기 시절 사용하던 ‘FDX’, ‘DPI’ 같은 내부 표현이 담겼다. 현재는 이러한 표현을 사용하지 않고 있다”고 설명했다.

또, 자체적으로 조사한 결과, 나이트스파이어가 이번에 올린 데이터는 지난해 사이버 공격으로 인해 유출된 기존 자료와 같은 것으로 파악했다. 앞서 쿼드마이너는 지난해 8월 가상사설망(VPN) 장비 취약점을 악용한 공격으로 솔루션 데모 시스템 일부 자료가 유출된 바 있다. 해당 침해 사고에 대해서 지난해 즉시 한국인터넷진흥원(KISA)에 신고했다.

쿼드마이너 측은 “이번에 (해커 조직이) 유출했다고 주장한 데이터는 작년 침해사고 당시 가져간 자료를 그대로 재활용한 것”이라며 “당시 해커는 1억원에 달하는 비트코인을 요구했지만 당사는 응하지 않았고, 이후 이를 빌미로 지속적인 금전 협박을 이어가고 있다”고 설명했다.

랜섬웨어 조직 ‘나이트스파이어’ 다크웹 사이트 화면(사진=캡처)

나이트스파이어가 데이터를 유출했다고 주장한 시점에 대해서도 사실과 다르다고 했다. 쿼드마이너 측은 “지난 2일은 사무실 이전으로 인해 하루 동안 네트워크가 단절돼 외부 침입이 불가능했다. 소스코드는 현재 깃허브에서 다중인증(MFA)을 통해 안전하게 관리되고 있다”고 말했다.

쿼드마이너는 한국인터넷진흥원(KISA)에 이 같은 분석 내용을 지난주 보고했다.

일각에서는 보안 솔루션의 소스코드가 중요한 만큼, 보안 관리에 만전을 기해야 한다는 목소리도 나온다. 한 보안 전문가는 “보안 업체에 소스코드는 핵심 자산인데, 외부에 공개되면 해커가 이를 분석해 보안 취약점을 찾아내고 고객사 시스템을 공격할 수 있다”며 “한 번 유출된 자료는 다크웹에서 반복적으로 재유통될 수 있어 피해가 장기화될 우려가 있다”고 경고했다.

최연두 (yondu@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.