By ANDY GREENBERG, WIRED US

지난 몇 년간 위키리크스와 같은 과격주의 투명성 운동 세력 때문에 내부 고발과 해킹 사이의 경계가 모호해졌다. 종종 위키리크스와 같은 투명성 운동 세력은 출처가 의심스러워도 개의치 않고 공공 이익이라고 생각하는 데이터는 무엇이든 공개했다. 그러나 이제 폭로에 중점을 둔 어느 한 단체가 논란이 되는 새로운 출처를 지닌 기밀을 캐내고 있다. 바로 랜섬웨어 집단이 탈취하고 돈을 지급하는 것을 거부해 온라인 공간에 방치한 다량의 데이터이다.

1월 6일(현지 시각), 디도시크릿(DDoSecrets)이라는 이름으로 알려진 데이터 운동 투명성 집단이 자체 웹 사이트에 다량의 신규 데이터를 공개했다. 모두 원래 랜섬웨어 해커 집단이 온라인에 유출한 정보를 다크 웹 사이트에서 수집한 데이터이다. 디도시크릿은 약 1테라바이트의 데이터에 접근할 수 있도록 공개했다. 그중에는 5개 기업의 메일과 사진, 문서 75만 개 이상이 포함됐다. 디도스는 개인적으로 선택한 기자나 학술 연구원에게 또 다른 12개 기업의 데이터 1.9테라바이트를 공유한다. 종합적으로 거대한 데이터 수집 범위는 제약사, 제조사, 금융 기업, 소프트웨어 기업, 유통 기업, 부동산 개발 기업, 석유 및 가스 기업 등으로 매우 넓다.

디도시크릿이 향후 몇 주 뒤와 몇 개월 뒤에 공개할 계획이라고 밝힌 테라바이트 단위의 데이터와 함께 디도시크릿이 공유하는 모든 데이터는 갈수록 사이버 범죄 랜섬웨어 기업 사이에서 보편화되는 곳에서 얻는다. 랜섬웨어 피해자 기기 암호화와 암호화 해제 키 비용 지급 요청 외에도 랜섬웨어 해커들은 이제 피해자 데이터를 다량으로 탈취하고, 목표한 금액을 지급하지 않으면 온라인에 공개한다고 위협한다. 많은 사례에서 피해자는 금전 갈취를 거부하며, 랜섬웨어와 같은 사이버 범죄는 위협으로 끝난다. 그 결과, 수십 혹은 수백 테라바이트의 인터넷 기업 데이터가 다크 웹 서버에 쏟아져 나온다. 피해 기업의 웹 주소는 해커와 보안 연구원 사이에서 널리 유포된다.

디도시크릿 공동 창립자 엠마 베스트(Emma Best)는 랜섬웨어 기업이 유포한 데이터의 자취는 이후 종종 검증이 필요한 정보를 포함한 채로 남겨진다. 간혹 대중에게 공개되기도 한다. 베스트는 와이어드에 “대중에게 여러 업계의 운영 방식을 알릴 가치가 있는 데이터를 무시할 수 없다”라는 문자를 보냈다. 베스트는 디도스가 많은 사례에서 대규모 데이터에 포함될 수 있는 잠재적인 공공의 이익에 포함된 비밀을 정확히 말할 수 없다고 강조했다. 디도스가 신중히 직접 검색하는 데이터가 무수히 많기 때문이다. 그러나 디도스 측은 문건에서 드러났을 수도 있는 기업의 부정행위를 입증할 증거가 없다고 주장한다. 혹은 공공의 이익을 위해 사용될 수 있는 지적 재산권도 공정한 게임으로 간주된다.

베스트는 “제약 회사든 석유 회사든 혹은 업계 전체의 발전 속도를 높이거나 모두가 연구 공유로 모두가 안전하게 만들 기술적 데이터와 스펙을 지닌 회사이든 연구와 언론, 학자의 활동을 가능하게 할 의무가 있다. 따라서 모두 일반적으로 (우리의 삶과 지구의 미래에서 중요한 부분을 관리하는) 불투명한 업계 운영 방식을 알게 되는 것이다”라고 설명했다.

그러나 전 세계적인 랜섬웨어 공격 증가 추세에 맞서 싸우는 이들에게 사이버 범죄 해커 집단 때문에 유출된 데이터 악용에는 새로운 윤리적 의문점이 함께 제기된다. 보안 업체 리코디드 퓨처(Recorded Future) 소속 애널리스트 겸 연구원인 앨런 리스카(Allan Liska)는 대기업과 영세 기업이 받게 되는 랜섬웨어 공격의 심각한 파장을 직접 알게 되었다고 말한다. 또, 랜섬웨어 집단의 데이터 유출 범위가 풍부해질수록 더 많은 피해자에게 유출된 데이터로 위협을 가하도록 부추기게 된다고 주장한다. 그는 “개인적으로 디도시크릿의 행위가 잘못됐다고 생각한다. 좋은 의도라고 해도 범죄 피해를 당한 이를 악용하는 행위라고 볼 수 있기 때문이다”라고 설명했다.
 
베스트는 디도시크릿이 하는 행위는 해커가 이미 공개한 데이터를 무작위로 공개하는 것이 아니라고 반박한다. 그는 “모든 데이터는 랜섬웨어 해커가 이미 유포한 것이다. 디도시크릿은 피해자에게서 직접 무언가를 받거나 피해자의 데이터를 이용해 어떤 형태든 특별한 작업을 하지 않는다. 언론인이 접근할 수 없는 데이터나 접근하는 것에 우려하는 데이터에 접근하도록 하고자 데이터를 취득한다”라고 말했다. 또, 그는 많은 사례에서 디도시크릿 측이 스스로 데이터를 공개하는 것이 아니라 유출된 데이터 대부분을 언론인, 연구원과 함께 개별적으로 공유한다고 덧붙여 전했다. 이러한 경우, 데이터를 공개하는 이에게 개인 신원 정보와 같이 지나치게 민감한 정보와 공공의 이익의 가치가 없는 정보는 어느 정도 편집하도록 한다.

또, 디도시크릿은 개인 신원 확인 정보를 랜섬웨어 유출에 악용하는 사이버 범죄가 직접 입수한 데이터든 디도시크릿과 관련이 없든 랜섬웨어 해커 때문에 유출된 데이터를 획득해 이루어진다는 사실에도 주목했다. 베스트는 “모든 이에게 피해를 주는 해커를 우려하기를 원하는가? 해커는 이미 모든 데이터를 입수했다”라고 메시지를 보냈다.

베스트는 라이선스 플레이트 인식 기술 기업 퍼셉틱스(Perceptics)가 지난해 봄에 기밀 유출 피해를 보고, 다크 웹에 기업 정보가 유출된 사실을 지목했다. 영국 온라인 매체 레지스터의 보도에 따르면, 퍼셉틱스는 랜섬웨어 피해를 본 것으로 추정된다. 미국 매체 인터셉트 소속 기자가 퍼셉틱스가 관세국경보호청 계약을 위해 미 의회에 로비한 사실을 보여주는 데이터와 퍼셉틱스가 개발한 기술이 보안과 프라이버시 문제를 대수롭지 않게 여긴 사실을 면밀히 검토했다. 민감 라이선스 플레이트 정보는 해커의 공격에 취약한 상태로 남았다.
 
2020년 6월, 디도시크릿은 대규모 해킹된 기밀 문건집으로 충격적인 기밀을 공개했다. 디도시크릿이 공개한 문건은 바로 해커 관련 집단인 어나니머스에게서 입수한 블루릭스(BlueLeaks)라는 이름으로 알려진 법률 집행 기관의 대규모 문건 모음집이다. 200여 곳의 주 경찰과 지방 경찰 기관에게서 탈취한 총 269기가바이트의 문건 모음집 때문에 트위터에서 디도시크릿 계정이 금지됐으며, 디도시크릿 웹 사이트 링크가 포함된 모든 게시글도 차단됐다. 레딧은 r/blueleaks 관련 게시글을 모두 금지했다. 이후, 독일 츠비카우 지방 검찰은 경찰에 수많은 문건과 데이터 수집을 위한 검색 엔진을 제공하는 디도시크릿 소유 서버 압수 명령을 내렸다. 이는 디도시크릿에 큰 타격을 준 사건이며, 지금도 당시의 타격을 회복 중이다. 디도시크릿은 현재 토르(Tor)에서 보호받는 .onion 사이트에서 데이터를 제공하려 한다. 서버의 위치를 숨겨 향후 압수가 더 어려워질 수 있기 때문이다.

디도시크릿은 각종 장벽에도 불구하고 중대한 임무 수행에 좌절하지 않는다. 랜섬웨어 데이터를 새로 수집하면서 데이터 유출의 대대적인 근원지를 새로 찾았다. 리스카는 지난해, 랜섬웨어 피해 기업 1,000여 곳의 데이터가 다크 웹 사이트에 유출됐다고 전했다. 그는 랜섬웨어 유출 1년 만에 최대 100~200테라바이트에 달하는 도난 데이터가 여러 다크 웹 사이트에 공개됐다고 추산한다.

존스홉킨스대학교 전략 연구 교수 토마스 리드(Thomas Rid)가 자신의 저서 『적극적 조치(Active Measures)』에서 주장한 바에 따르면, 공공의 이익이 되는 정보를 위해 유출된 데이터에서 기밀을 파헤치는 일의 윤리성 문제는 ‘내부 관계자가 유출한 것인가, 아니면 해커에게 도난 피해를 보고 유출된 것인가?’, ‘해커가 범행을 저지른 의도는 무엇인가?’라는 의문점 그 이상의 문제이다. 디도시크릿의 입수에 앞서 해커가 진정으로 공개한 데이터라면, 2016년, 러시아 군사 정보 기관이 민주당 전국위원회에서 해킹하고 이전에는 공개되지 않은 메일을 공개해, 대중적인 비판을 받는 위키리크스의 움직임과는 매우 다르다.

그러나 리드 교수는 많은 사례에서 다크 웹 사이트에서 접근할 수 있는 데이터는 단기적으로만 얻을 수 있어, 디도시크릿이 데이터를 영구 보관하는 것은 더 큰 윤리적인 우려를 낳는다고 말한다. 그는 “당신이 기밀 데이터의 유일한 출처가 되면, 기본적으로 해당 데이터의 게시자가 된다. 디도시크릿 측은 윤리성 문제가 있다는 사실을 받아들여야 한다. 디도시크릿은 암흑의 영역이 아닌 척할 수는 없다”라고 말했다.

베스트는 랜섬웨어 데이터의 존재를 무시하는 행위는 사이버 범죄 집단이 데이터를 악용하며, 뉴스 보도 가치가 있는 심각한 기밀 혹은 다른 공공의 이익의 원천으로서 데이터의 가치를 남기는 것이라고 주장한다. 그는 “테라바이트 단위의 데이터가 다크 웹에 넘쳐나고 있다. 사이버 범죄 집단과 보안 전문가, 데이터 유출 관련 문제를 우려를 공개적으로 드러내고자 하는 전문가가 대부분을 악용하고 있다. 그러나 다크 웹에 유출된 데이터 대부분 대중이나 언론인이 접근할 수 없다. 디도시크릿이 항상 지녀온 궁극적인 목표는 대중을 위해 일하고, 정보를 제공하는 것이다”라고 전했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Anti-Secrecy Activists Publish a Trove of Ransomware Victims' Data