[자료제공: 그룹아이비]
디지털 범죄를 조사, 예방 및 대응하기 위한 사이버 보안 기술 분야의 글로벌 선도적 기업인 그룹아이비는 오늘, 전 세계적으로 고도화된 기업 비즈니스 이메일 사기(BEC) 공격을 주도하는 'W3LL(웰)' 사이버 범죄 조직 관련 신규 보고서를 발표했다.
이번 최신 보고서는 Group-IB의 기존 W3LL 연구 결과를 바탕으로, 최근 몇 년간 밝혀진 가장 정교한 피싱 생태계 중 하나를 구축한 이 조직의 인프라, 운영 방식 및 배후 인물들에 대한 새로운 통찰력을 제공한다. 이 보고서는 법 집행 기관들이 W3LL 네트워크의 해체에 대해 최근 발표한 내용을 뒤따르는 것이다.
오랫동안 운영되어 온 피싱 생태계
2023년 9월 Group-IB에 의해 최초로 발견된 이 조직은 2017년부터 활동해 온 것으로 추정되며, W3LL은 피싱-어-서비스(PhaaS) 플랫폼을 개발 및 운영하여 500명 이상의 사이버 범죄자들이 금융 서비스, 의료, 제조, IT, 법률 분야를 포함한 다양한 산업 분야의 기업을 대상으로 BEC(기업 대상 이메일 사기) 공격을 수행할 수 있도록 지원했다. 이러한 공격으로 전 세계적으로 수백만 달러에 달하는 금전적 손실이 발생했다.
이 생태계의 중심에는 다단계 인증(MFA)을 우회하고 기업의 Microsoft 365 계정을 탈취하도록 설계된 고급 중간자 공격(AiTM) 피싱 키트인 'W3LL Panel'이 자리 잡고 있었다. 이 도구는 피싱 키트, 해킹된 인프라, 표적 공격용 리소스를 제공하는 비공개 암시장인 'W3LL Store'를 통해 유통되었다.
W3LL 사이버 범죄 조직의 진화 추적
Group-IB의 분석에 따르면, W3LL은 탐지를 피하기 위해 지속적으로 운영 방식을 조정해 온 것으로 나타났습니다. 2023년초 공개된 보고서에 이어, 이 그룹은 마켓플레이스 운영을 대체 채널로 전환하는 등 인프라와 전달 방식을 수정했다.
이 새로운 보고서는 이러한 변화가 어떻게 전개되었는지 설명하고, 현대 피싱 생태계의 회복력과 적응력에 대한 추가적인 맥락을 제공한다.
그룹아이비 김기태 지사장은 "이번 보고서는 한국 기업들에게도 시사하는 바가 크다. W3LL의 주요 공격 대상인 제조 및 엔지니어링(17.5%)과 기술(10.6%) 산업은 한국 경제의 중추를 담당하는 핵심 분야와 정확히 일치한다. 대다수 국내 기업이 표준 협업 도구로 사용하는 Microsoft 365 환경을 정교하게 노리고, 기존 보안의 표준인 다단계 인증(MFA)까지 무력화한다는 점에서 국내 제조·IT 기업들의 각별한 주의가 요구된다"라고 말했다.
글로벌 사이버 보안 강화
Group-IB는 예측 기반이며 정보 주도적이고 공격자 중심의 연구 및 조사 활동을 통해, 전 세계 조직과 개인을 위한 보다 안전하고 회복력 있는 사이버 공간을 조성하고 공동 방어 체계를 강화하는 데 전념하고 있다. Group-IB는 전 세계 및 지역 법 집행 기관과 지속적으로 협력하여 전 세계적으로 악성 활동을 차단하고 있다.