반도체 전문 온라인 매거진 - 올포칩

글로벌 사이버 보안 기업 그룹아이비(Group-IB)가 전 세계적으로 고도화된 비즈니스 이메일 사기(BEC) 공격을 주도하는 사이버 범죄 조직 W3LL(웰)에 대한 신규 조사 보고서를 발표했다. 이번 보고서는 최근 몇 년간 가장 정교한 피싱 생태계 중 하나를 구축한 것으로 평가받는 W3LL 조직의 인프라와 운영 방식, 그리고 배후 인물들에 대한 심층적인 분석을 담고 있다. 특히 이번 발표는 글로벌 법 집행 기관들이 해당 네트워크 해체를 공식화한 시점에 맞추어 공개되어 업계의 주목을 받고 있다. 

최근 사이버 범죄 양상은 단순 공격을 넘어 서비스형 피싱(PhaaS) 형태로 진화하며 기업 보안을 위협하고 있다. 그룹아이비에 따르면 W3LL은 2017년부터 활동을 시작해 독자적인 플랫폼을 구축했으며, 500명 이상의 사이버 범죄자들에게 피싱 도구를 제공해 왔다. 이들은 금융, 의료, 제조 등 다양한 산업군을 무차별적으로 공격해 수백만 달러 규모의 금전적 피해를 입혔다. 보안 전문가들은 이러한 조직적 범죄 모델이 현대 기업들이 직면한 가장 심각한 보안 과제 중 하나라고 지적한다. 

W3LL 생태계의 핵심은 다단계 인증(MFA) 시스템을 우회하여 기업의 Microsoft 365 계정을 탈취하는 중간자 공격(AiTM) 도구인 'W3LL 패널'이다. 이들은 'W3LL 스토어'라는 비공개 암시장을 통해 피싱 키트와 해킹된 인프라를 유통하며 탐지를 피하기 위해 지속적으로 운영 방식을 변경해 왔다. 특히 2023년 이후에는 마켓플레이스 운영 채널을 전환하는 등 수사 기관의 추적을 따돌리는 고도의 적응력을 보여주기도 했다. 

이번 보고서는 국내 기업들에게도 실질적인 경각심을 일깨워준다. W3LL의 주요 표적인 제조 및 엔지니어링 분야와 기술 산업은 한국 경제의 핵심 동력이기 때문이다. 대다수 국내 기업이 협업 도구로 Microsoft 365를 사용하고 있는 환경에서, 기존 보안의 표준인 다단계 인증마저 무력화하는 이들의 공격 방식은 국내 산업계에 직접적인 위협이 될 수 있다는 분석이다. 

그룹아이비 김기태 지사장은 "W3LL의 주요 공격 대상 산업은 한국 경제의 중추를 담당하는 핵심 분야와 정확히 일치한다"라며 "국내 제조 및 IT 기업들은 다단계 인증까지 무력화하는 이들의 정교한 공격 방식에 각별한 주의를 기울여야 한다"라고 강조했다. 그룹아이비는 앞으로도 정보 주도적인 연구 활동과 글로벌 법 집행 기관과의 협력을 통해 전 세계적인 악성 활동 차단과 안전한 사이버 공간 조성에 주력할 방침이다.