By BRIAN BARRETT, WIRED US

출시 발표문에 “우리에게 완벽한 제품을 찾을 수 없어, 다크사이드(DARKSIDE)를 제작했다. 이제는 다크사이드 덕분에 완벽히 원하는 것을 얻게 되었다”라고 적혀 있다. 여러 벤처캐피털 친화적인 설명 자료에서 등장하는 문구이다. 그러나 다크사이드는 스타트업이 아니다. 최근, 수백만 기업 혹은 개인을 위협해 금전을 갈취하기 위해 설립된 랜섬웨어 집단이다. 금전 갈취 과정에서는 전문성이라는 의문스러운 분위기를 의도적으로 이용한 공격이 동반된다.

랜섬웨어 공격 완료 시간을 보장한다. 실시간 채팅 지원된다. 게다가 브랜드 인지도도 갖추었다. 랜섬웨어가 대규모 사업이 되면서 랜섬웨어 서비스 판매 집단은 합법적 기업 행위에 비유하는 것을 적극적으로 반긴다. 여기에는 기업의 책임 약속도 포함됐다. 2020년 8월 10일 자로 다크 웹의 운영자 사이트에 게재됐으며, 사이버 보안 뉴스 웹사이트 블리핑 컴퓨터(Bleeping Computer)가 최초 보도한 다크사이드의 ‘언론 보도 자료’에서 다크사이드 해커는 병원, 학교, 비영리 단체 혹은 정부 등을 공격 대상으로 삼지 않는다고 약속했다.

바이러스 방지 기업 엠시소프트(Emsisoft)의 위협 애널리스트 브렛 칼로우(Brett Callow)는 “다크사이드와 같은 랜섬웨어 집단은 갈수록 무자비할 정도로 효율성을 지닌다. 피해 기업이 랜섬웨어 문제를 겪기 쉬울수록 공격을 성공할 확률이 높다. 혹은 피해 기업이 암호화 해제 키를 얻기 위해 돈을 지급하도록 만들기 더 쉬워진다”라고 설명했다.

다크사이드
치밀하게 공격을 개시하는 랜섬웨어 해커의 등장은 서서히 널리 퍼졌으며, 부분적으로는 한 차례의 공격 성공이 또 다른 성공을 낳는 기능을 한다. 다크사이드는 많은 자원을 가질수록 랜섬웨어 서비스 간소화를 위해 더 많은 인력과 자원을 분배할 수 있다. 엠시소프트의 발표에 따르면, 2019년 발생한 여러 랜섬웨어 공격으로 미국 내 피해 기업에서만 최소 75억 달러(8조 1,900만 원)를 갈취했을 가능성이 있다고 추측한다.

다크사이드의 배후에 있는 집단이 전문성이라는 화려한 대외적 이미지로 포장한 최초의 집단이 아니다. 다크사이드보다 먼저 탄생했지만 비슷한 특성을 보인 레빌 랜섬웨어(REvil ransomware)는 오랫동안 채팅 지원 서비스를 제공하면서 피해 기업에 “(원문 그대로) 비즈니스일 뿐이다. 이익을 얻는 것을 제외하고는 고객과 고객 거래를 절대 신경 쓰지 않는다”라며 피해 기업을 설득했다. 메이즈 랜섬웨어(Maze ransomware)의 개발자는 오랫동안 제휴 모델을 두고 랜섬웨어 사업을 운영하는 것을 고려했다. 바로 메이즈 랜섬웨어의 제품을 사용한 공격에서 해커가 수집한 것은 무엇이든 메이즈 랜섬웨어가 갖는 모델이다.
 
지난해 7월, 로이터가 공개한 확실히 드러난 랜섬웨어 집단과의 대화 내용에는 적어도 표면적으로 매우 친밀하게 상호작용할 수 있다는 사실이 드러났다. 라그나 로커(Ragnar Locker) 랜섬웨어 해커가 여행사 CWT를 공격했을 때, 다른 최종 지원 라인의 대표는 데이터 암호화 해제 값 지급에 어떤 서비스가 있는지 세분화하며 비용 지급 시간에 따라 20% 할인을 제공했다. 또한, CWT가 문제를 해결하는 데 필요한 암호화 해제 키를 전달한 후에도 채팅창이 제 기능을 하도록 두었다. 라그나 로커 랜섬웨어 기업은 대화가 끝나자 “전문가를 상대해 기쁘다”라고 작성했다. 이 외에도 의류 브랜드 메이드웰(Madewell)에서 청바지를 환불하는 것을 논의하는 등 개인적인 대화도 나누었을 수도 있다.

사이버 보안 솔루션 서비스 업체 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence)의 분석 관리자 제레미 케넬리(Jeremy Kennelly)는 “초창기에 등장한 랜섬웨어 운영 집단도 ‘훌륭한 고객 서비스’ 제공에 민감하며, 전문 채팅 시스템이나 이메일로 답장을 하며 소통한다. 또한, 결제 금액은 피해 기업이 랜섬웨어 공격 대상이 된 파일, 시스템 등의 암호화 해제에 필요한 툴을 받게 되면 지급한다는 합당한 보장도 제공한다”라고 설명했다.

기존 랜섬웨어 공격에서도 주된 표적이 됐지만 코로나19와 함께 공격 위험이 더 심각해진 병원을 해킹 대상에서 제외한다고 약속하며, 다크사이드는 데이터값을 지급할 여유가 있는 이들 혹은 기관만 공격 표적으로 삼는다고 주장한다. 다크사이드 언론 보도 내용에 “어떠한 공격이든 개시 전, 회계 상태를 신중하게 분석하고 순수익에 따라 서비스 비용을 책정한다”라고 명시됐다.
 
이처럼 첨단화된 운영 방식은 최근 몇 년간 더 널리 퍼졌다. 맨디언트는 메이즈와 관련된 해커 집단이 기업과 재정 상태를 확인하기 위해 네트워크 스캔 담당자를 풀타임으로 채용하려는 움직임을 보인 사실을 감지했다. 맨디언트 위협 인텔리전스 분석 수석 관리자 킴벌리 구디(Kimberly Goody)는 “기업 수익을 빠르게 확인하는 데 도움을 줄 목적으로 개발된 것으로 추정되는 특수 툴도 발견했다. 지난해 7월 초, 어느 한 해커 집단이 줌인포(ZoomInfo)로 증권 상장 수익과 직원 수, 주소 등 기업 정보를 제공하는 도메인 체커를 광고했다”라고 밝혔다.

다시 말해, 다크사이드의 행위가 새로 등장한 행위는 아니지만, 랜섬웨어 집단이 매우 교묘한 전문 해커를 채택한 방식을 정확하게 제공한다. 동시에 다크사이드의 이름 자체는 같은 피해 기업이 데이터값 지급을 거부할 때, 같은 해커가 갈수록 보복도 한다는 사실을 암시한다.

당근과 채찍
다크사이드의 격식은 분명히 다크사이드가 개입한 랜섬웨어 범죄 행동을 정당화하지 못한다. 또, 다른 랜섬웨어 집단과 마찬가지로 단순히 피해 기업 파일 암호화를 넘어 더 심각한 공격도 개시했다. 피해 기업의 데이터값 지급을 보장하고자 데이터를 훔치고 인질로 삼아, 피해 기업이 스스로 데이터를 복원하려 할 때 데이터를 공개하겠다고 위협했다.

다크사이드는 다크 웹에 데이터 유출 사이트를 유지하고 있다. 피해 기업 명단 외에도 기업 규모와 탈취한 문서 및 정보의 유형까지 나열한다. 피해 기업이 데이터값을 지급하지 않는다면, 다크사이드 해커는 각종 도난 데이터를 온라인에 최소 6개월 보관한다고 말한다. 지난해 8월, 다크웹사이드는 첫 번째 피해 명단을 공개하며, 캐나다 부동산 기업 브룩필드 레지덴셜(Brookfield Residential)의 인사 관리, 재정, 급여 부분과 여러 내부 부서의 데이터 200기가바이트를 탈취했다고 주장했다.

랜섬웨어 해커 모두 따라 할 준비를 마친 기존의 익숙한 위협의 변종이다. 2020년 5월, 레빌 랜섬웨어 해커가 연예계 전문 로펌 그루브만 시어 메이 젤라스& 색스(Grubman Shire Meiselas & Sacks)를 대상으로 4,200만 달러를 요구했다. 동시에 2.4GB의 용량에 달하는 레이디 가가의 법률 문서를 공개해, 해킹 주장을 입증했다. (레빌은 지금까지 탈취한 다량의 데이터를 다크 웹에서 경매로 판매했다) 넷워커(NetWalker) 랜섬웨어 조직은 데이터 유출 사이트에 시간 제한을 재는 시계를 포함해, 긴박함을 더한다. 피사(Pysa) 랜섬웨어 조직은 자체 웹사이트에서 랜섬웨어 피해자를 ‘파트너’라고 칭하며, 유출된 데이터에서 찾을 수 있는 데이터를 진지한 과대광고처럼 홍보한다. 이러한 항목은 “17GB 용량의 훌륭한 정보에 관심을 가질 수밖에 없다”라는 결론을 내린다.

칼로우는 최근 해커가 미디어와 경쟁 조직, 정부 규제 기관 등에 피해 기업이 제대로 데이터값을 지급하지 않아서 탈취한 민감 데이터에 대해 적극적으로 알리고자 추가로 위협을 가한다는 사실에 주목하며, “일종의 당근과 채찍이다. 데이터 공개 위협만 하는 것이 아니다. 데이터 공개 위협만 하는 것이 아니다. 데이터를 무기화한다고 위협한다”라고 말했다.

간접적인 방식으로 친근함이라는 능력은 위협의 심각성을 강화한다. 사이버 보안 기업 트렌드 마이크로(Trend Micro) 소속 수석 사이버 보안 관리자 에드 카브레라(Ed Cabrera)는 “랜섬웨어 공격은 단순한 암호화 작업이 아니라 공포감을 전달하는 행위이다. 피해자가 해커를 전문적인 공격 능력을 지녔다고 생각할수록 ‘해커에 맞서 싸워도 소용없다. 데이터값을 주어야 한다’나 ‘해커를 믿는다면, 데이터를 돌려받을 것이다. 해커도 생계를 위해 하는 일이기 때문이다’와 같은 강조된 메시지를 믿게 될 확률이 높다”라고 설명했다.

윤리적이지 않은 행위가 반복된다. 랜섬웨어 조직이 더 많은 돈을 벌수록 랜섬웨어 사업 운영에 더 큰 비용을 투자하면서 갈수록 규모가 큰 기업을 랜섬웨어 표적으로 삼는다. 그리고, 돈을 더 많이 벌게 되면서 계속 반복된다. 곧 랜섬웨어 조직의 활동이 줄어들 것으로 볼만한 근거가 없다. 제대로 자원을 갖춘 기업도 보안 설치 과정에서 불가피한 허점에 빠지기 때문이다. 대다수 랜섬웨어 집단이 미국이 아닌 해외에 있어, 법률 집행 기관이 랜섬웨어 범죄를 해결하기 위해 활용할 방법이 거의 없다. 2019년 12월, 랜섬웨어의 중심인물로 의심되는 이를 상대로 법정 공방이 펼쳐졌다. 당시 법무부는 ‘이블 코프(Evil Corp)’라는 러시아의 랜섬웨어 집단 대표를 기소했다. 보안 전문가들은 이블 코프가 지난해 7월, 가민 서비스 장애를 일으킨 공격의 주범으로 추정한다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Ransomware Has Gone Corporate—and Gotten More Cruel