FBI, ‘First VPN’과 랜섬웨어 연관성 경고

“FBI, ‘First VPN’ 서비스와 랜섬웨어, 봇넷, 다크웹 범죄 연계 공식 발표, 계층적 방어 전략 촉구”

최근 미국 연방수사국(FBI)이 약 25개 랜섬웨어 그룹이 ‘First VPN Service’라는 불법 VPN 서비스를 통해 네트워크 침입, 스캐닝, 봇넷 운영, 서비스 거부(DDoS) 공격, 각종 사기 행각을 벌여왔음을 공식적으로 밝혔습니다.

2014년부터 32개국 27개 엑시트 노드를 운영하며 활동해 온 이 서비스는 랜섬웨어 그룹 및 기타 사이버 범죄자들이 조직적인 네트워크 침입, 정보 수집, 계정 탈취, DDoS 공격 등 악의적인 활동을 실행하는 데 핵심적인 인프라를 제공해왔습니다.

FBI는 최근 발간된 FLASH 브리핑을 통해 “Avaddon 랜섬웨어와 같은 최소 25개의 랜섬웨어 그룹이 First VPN Service의 인프라를 이용해 네트워크 정찰 및 침입을 수행했다”고 명시했습니다.

특히 First VPN Service의 IP 주소가 스캐닝 활동, 봇넷 구축, DDoS 공격, 사기, 해킹 등에 광범위하게 사용되었으며, 이 서비스는 Exploit[.]in 및 XSS[.]is와 같은 악명 높은 러시아어 기반 다크웹 포럼에서 주로 광고되었다는 사실이 드러났습니다.

이들 포럼은 사이버 범죄자들이 시스템 접근 권한, 개인 식별 정보, 해킹 도구, 불법 물품 등을 거래하는 주요 장소로 알려져 있습니다.

본 보도는 First VPN Service에만 국한된 내용이며, 이름이 유사한 다른 VPN 제공 업체에는 해당되지 않음을 분명히 합니다.

이번 발표는 프랑스와 네덜란드의 사이버 범죄 수사대가 우크라이나, 영국, 스위스, 룩셈부르크의 지원을 받아 진행한 국제 공조 작전을 통해 해당 서비스가 차단된 직후에 이루어졌습니다.

이 작전은 해당 VPN 서비스가 사이버 범죄자들이 데이터를 거래하고 해킹 도구를 사고파는 러시아어 다크웹 포럼에서 거의 독점적으로 홍보되었다는 사실을 규명하는 성과를 거두었습니다.

FBI의 경고는 프랑스 지역 사법 경찰 사이버 범죄 대응팀(BL2C)과 네덜란드 경찰, 국가 첨단 기술 범죄 수사대(NHTC)가 우크라이나, 영국, 스위스, 룩셈부르크의 지원으로 수행한 작전에 기반한 것입니다.

Avaddon 랜섬웨어는 2020년 이후 랜섬웨어 서비스형(RaaS) 모델로 등장하여 피싱 캠페인과 제휴 공격을 통해 제조 및 기타 중요 산업 분야의 기업 네트워크를 집중적으로 타겟팅했습니다.

2023년에는 미국 보건복지부(HHS) 산하 보건 부문 사이버보안 조정 센터(HC3)가 Avaddon 운영의 후신 혹은 리브랜딩일 가능성이 있는 신규 랜섬웨어 그룹인 NoEscape의 존재를 확인했습니다.

Avaddon은 법 집행 기관의 압박 증가로 2021년 복호화 키를 공개하고 활동을 중단한 바 있습니다.

First VPN Service, 사이버 범죄의 도구로 활용된 배경

FBI는 악의적인 인프라가 IP 주소가 동적으로 할당되거나 일시적으로 할당되는 클라우드 또는 가상화 플랫폼에 호스팅될 수 있음을 인지하고 있습니다.

따라서 악의적 활동과 연관된 IP 주소가 추후 비악의적인 서비스에 재할당될 가능성이 있습니다.

이러한 지표는 특정 활동 기간 내에 관찰된 과거의 인프라로 해석되어야 하며, 현재 네트워크 원격 측정 또는 추가 정보 소스를 통해 교차 검증되어야 합니다.

First VPN Service는 OpenConnect, WireGuard, Outline, VLess TCP Reality와 같은 다양한 연결 프로토콜과 OpenVPN ECC, L2TP/IPSec, PPtP 등 다중 암호화 옵션을 제공했습니다.

또한 자체 호스팅된 Jabber 서버와 Telegram 암호화 메시징 서비스를 통해 기술 지원까지 제공했습니다.

특히 주목할 점은 First VPN Service가 제공한 ‘VLESS’ 및 ‘Reality’ 프로토콜 옵션으로, 이는 VPN 인터넷 트래픽을 일반 웹사이트 연결에 흔히 사용되는 포트를 통해 HTTPS 트래픽으로 위장할 수 있는 기능을 제공했습니다.

이는 탐지 회피를 위한 매우 정교한 기법으로 볼 수 있습니다.

MITRE ATT&CK 프레임워크에 따르면, 공격자들은 First VPN Service와 같은 VPN 서비스를 통해 악의적인 트래픽을 라우팅하여 활동의 실제 출처를 은폐하고 탐지 메커니즘을 우회하는 T1090(프록시) 기술을 사용하고 있습니다.

또한 T1133(외부 원격 서비스) 기술을 통해 VPN 인프라를 활용하여 피해 환경에 원격으로 접근하고, 종종 유효한 자격 증명을 사용하여 지속성을 유지하거나 후속 작전을 수행합니다.

공격자들은 VPN 서비스를 통해 손상된 계정으로 엔터프라이즈 시스템에 자주 인증하며, 이는 악의적인 행위를 합법적인 네트워크 활동과 혼동하게 만드는 T1078(기타 인증된 액세스) 기법과도 연관됩니다.

First VPN Service와 연결된 IP 주소에서 발생하는 스캐닝 작업은 개방된 포트, 노출된 서비스, 네트워크 구성을 식별하려는 노력과 일치하는 T1046(네트워크 스캐닝) 활동으로 분석됩니다.

초기 접근이 이루어진 후 VPN 인프라는 대상 네트워크 내 시스템을 열거하는 데 사용될 수도 있습니다 (T1018, 시스템 열거).

나아가 VPN 엑시트 노드는 노출된 서비스(SSH, RDP, 웹 애플리케이션 등)에 대한 암호 추측(Password Spraying) 및 무차별 대입 공격(Brute-force)을 지원하는 T1110(인증 크래킹)에도 활용될 수 있습니다.

또한, First VPN Service 인프라는 악의적인 캠페인 동안 운영을 방해하거나 방어자의 주의를 분산시키기 위한 서비스 거부(DDoS) 활동에도 연관되어 왔습니다(T1498, 서비스 거부).

기존 VPN 서비스와 First VPN Service의 차이점

국내 시장 및 산업에 미칠 영향 분석

이번 FBI의 발표는 단순히 해외의 한 VPN 서비스에 대한 경고를 넘어, 국내 기업 및 기관들에게도 시사하는 바가 큽니다.

첫째, 악성 VPN 서비스를 이용한 우회적인 공격 시나리오가 현실화되었음을 보여줍니다.

이는 기존의 IP 기반 차단이나 접근 통제만으로는 한계가 있음을 의미하며, 기업들은 자체적으로 VPN 사용 현황을 면밀히 모니터링하고, 의심스러운 트래픽 패턴을 탐지하는 데 더욱 신경 써야 합니다.

둘째, 다크웹에서 활동하는 범죄 조직과의 연계 가능성을 인지해야 합니다.

국내에서도 다크웹을 통한 정보 유출 및 공격 시도가 증가하고 있는 만큼, First VPN Service와 같은 인프라가 국내 공격자들에게도 악용될 여지를 배제할 수 없습니다.

셋째, 클라우드 및 가상화 환경에서의 IP 주소 동적 할당 및 재할당 문제를 다시 한번 상기시킵니다.

이는 보안 관제 시스템에서 IP 주소만으로 악의적 활동을 탐지하는 데 어려움을 줄 수 있으며, 더욱 정교한 탐지 기술과 위협 인텔리전스 연동이 필요함을 시사합니다.

더 나아가, 국내 IT 인프라 역시 이러한 유형의 공격에 노출될 수 있으며, 특히 원격 근무 환경 확대에 따라 VPN 사용이 늘어나는 추세이므로, VPN 트래픽에 대한 가시성 확보 및 제어가 더욱 중요해질 것입니다.

관련 보안 솔루션 시장에도 변화를 가져올 수 있으며, VPN 트래픽 분석, 위협 탐지, 계층적 방어 전략 수립을 돕는 솔루션에 대한 수요가 증가할 것으로 예상됩니다.

국내 기업들은 이번 사안을 계기로 보안 패러다임을 ‘탐지’에서 ‘예방’ 및 ‘대응’ 중심으로 전환하고, 다층적인 방어 체계를 구축하는 데 더욱 집중해야 할 것입니다.

계층적 방어 전략의 중요성

FBI는 이번 발표와 함께, 기업들이 First VPN Service와 같은 익명화 서비스로 인한 위험을 완화하기 위해 네트워크 제한, 신원 기반 보호, 행위 모니터링을 결합한 계층적 방어 컨트롤을 구현할 것을 촉구했습니다.

구체적인 권고 사항으로는, 운영상 가능한 범위 내에서 First VPN Service와 관련된 것으로 알려진 도메인을 차단하거나 관련 IP 주소를 면밀히 감시하는 것이 있습니다.

보안팀은 승인되지 않은 VPN 인프라와의 연결 및 새롭게 식별된 익명화 서비스 연관 IP 주소를 지속적으로 모니터링해야 합니다.

또한, VPN 인식 액세스 제어를 구현하여, 승인된 네트워크 또는 관리 장치에서의 기업 리소스 인증을 제한하고, 알려진 VPN 또는 프록시 네트워크에서 발생하는 로그인을 제한하거나 플래그를 지정하는 조건부 액세스 정책을 적용해야 합니다.

인증 보안 강화 역시 강조됩니다.

VPN, SSH, RDP, 클라우드 애플리케이션 등 모든 원격 액세스 서비스에 대해 다중 인증(MFA)을 의무화하고, 익숙하지 않은 IP 주소, 지리적 위치, 또는 자율 시스템(AS)에서의 인증 시도를 모니터링해야 합니다.

이상 행위 탐지도 필수적입니다.

계정 하나에 대해 지리적으로 멀리 떨어진 지역에서의 동시 세션, 불가능한 여행 이벤트, 사용자 에이전트 문자열 또는 장치 지문 변경과 같은 이상 행위 탐지 및 세션 활동을 감지해야 합니다.

원격 액세스 서비스 강화도 필요합니다.

SSH 및 관리 인터페이스를 신뢰할 수 있는 IP 범위나 Bastion Host, 제로 트러스트 아키텍처와 같은 보안 액세스 솔루션으로 제한하고, 가능하면 관리 서비스를 인터넷에 직접 노출하는 것을 피해야 합니다.

더불어, VPN 연관 인프라에서 발생하는 측면 이동(Lateral Movement), 스캐닝 활동, 명령 및 제어(C2) 통신을 포함한 비정상적인 패턴에 대해 네트워크 트래픽을 검사하고 분석해야 합니다.

마지막으로, 최소 권한 원칙과 네트워크 분할을 적용하여 무단 접근의 영향을 줄이고 네트워크 내 측면 이동을 제한해야 하며, 방화벽 구성에 대한 정기적인 감사를 통해 불필요한 포트와 서비스를 닫아 시스템 노출을 최소화해야 합니다.

자주 묻는 질문 (FAQ)

Q: FBI가 경고한 ‘First VPN Service’는 무엇인가요?

A: FBI가 랜섬웨어 그룹, 봇넷, 다크웹 범죄 활동에 사용된 것으로 확인한 불법 VPN 서비스입니다.

이 서비스는 사이버 범죄자들이 네트워크 침입, 정보 수집, 사기 행각 등을 은폐하고 실행하는 데 악용되었습니다.

Q: 이러한 불법 VPN 서비스가 일반 VPN과 어떻게 다른가요?

A: 일반 상업용 VPN은 사용자의 개인 정보 보호와 보안 강화를 목적으로 합법적으로 운영되는 반면, First VPN Service와 같은 불법 서비스는 오로지 사이버 범죄 활동을 지원하고 탐지를 회피하는 데 목적을 둡니다.

또한 홍보 채널, 제공 프로토콜, 운영 방식 등에서 근본적인 차이를 보입니다.

Q: 기업은 이러한 위협에 어떻게 대비해야 하나요?

A: FBI 권고에 따라 계층적 방어 전략을 구축해야 합니다.

이는 네트워크 제한, 신원 기반 보호, 행위 모니터링을 결합하는 것을 포함합니다.

또한, 의심스러운 VPN 트래픽을 지속적으로 감시하고, 다중 인증(MFA)을 의무화하며, 이상 행위 탐지 및 네트워크 분할을 통해 보안을 강화해야 합니다.

Q: 국내 보안 시장에 어떤 영향을 미칠 것으로 예상되나요?

A: 악성 VPN을 통한 우회 공격 증가 가능성으로 인해, VPN 트래픽 분석, 이상 행위 탐지, 통합 보안 관제 솔루션에 대한 수요가 증가할 것으로 보입니다.

기업들은 잠재적인 위협에 더욱 효과적으로 대응하기 위한 보안 투자 및 기술 도입을 확대할 것으로 예상됩니다.

— 출처 —
FBI links First VPN Service to ransomware gangs, botnets, criminal dark web activity; calls for layered defensive controls

관련 추천 상품

Do it! LLM을 활용한 AI 에이전트 개발 입문