본문 바로가기 주메뉴 바로가기 검색 바로가기
클롭 사태, 랜섬웨어가 사라지지 않는 이유 설명
상태바
클롭 사태, 랜섬웨어가 사라지지 않는 이유 설명
우크라이나 당국이 랜섬웨어 공격 관련 주요 용의자를 일부 체포했다. 그러나 러시아가 똑같이 협력하기 전까지 바뀌는 것은 없을 것이다.
By LILY HAY NEWMAN, WIRED US

6월 16일(현지 시각), 조 바이든 대통령과 블라디미르 푸틴 대통령이 제네바에서 정상회담을 한 가운데, 우크라이나 법률 집행 기관이 악명 높은 클롭(Cl0p) 랜섬웨어와 관련된 조직과 관련된 용의자 6명을 체포했다. 우크라이나 당국은 한국과 미국 수사 기관과 협력해, 키예프 일대 거주자 21명을 수색한 뒤 컴퓨터와 스마트폰, 서버를 압수했다. 그리고, 랜섬웨어로 탈취한 것으로 추정되는 총 18만 4,000달러 상당의 금액을 보상했다.

클롭 조직 체포는 랜섬웨어 위기가 계속 확산하는 가운데 확인된 드문 성공 사례이다. 클롭 조직은 2019년부터 스탠퍼드대학교 의과대학원과 캘리포니아 대학교, 한국 대기업 이랜드 등 대중적으로 주목을 받는 조직을 대상으로 랜섬웨어 공격을 개시하고는 금전을 갈취했다. 또, 랜섬웨어 조직은 금융 범죄 조직인 핀11(FIN11)과 멀웨어 유포 조직 TA505 등 다른 여러 사이버 범죄 조직과 함께 범죄를 공모하거나 서로 관계가 있는 것으로 추정된다. 그러나 랜섬웨어 조직 체포라는 결과를 얻게 된 법률 집행기관의 협력 과정은 광범위한 랜섬웨어 위협 중단이 현실적으로 실현하기 어려운 꿈인 이유를 함께 부각하기도 한다. 이번에 우크라이나는 랜섬웨어 조직 체포 협조 의사를 보였으나 러시아가 똑같이 협조할 때까지는 거의 변하는 것이 없을 것이다.

2020년, 미국 병원에 대대적인 해킹 공격을 개시한 류크(Ryuk)와 2021년 5월에 미국 송유관 기업 콜로니얼 파이프라인(Colonial Pipeline)을 공격한 다크사이드(DarkSide), 최근 다국적 육류 공급 업체 JBS와 애플 공급사 퀀타 컴퓨터(Quanta Computer)를 포함해 여러 기업을 공격한 레빌(REvil) 등은 지난 몇 달간 심각한 피해를 일으키고자 한 주요 랜섬웨어 공격 세력이 공격을 개시한 위치는 러시아가 아닌 다른 곳이다. 미국 법무부는 러시아 랜섬웨어 세력을 기소했으나 체포하는 데 어려움을 겪었다. 푸틴 대통령은 종종 언급되는 2016년도 NBC 인터뷰를 포함해, 지난 몇 년간 공개적으로 사이버 범죄 조직이 러시아 법률을 위반하지 않는 이상 사이버 범죄 세력 기소에 크게 관심을 두지 않을 것이라고 말했다.

시스코 탈로스(Cisco Talos)의 커뮤니케이션 총괄 크레이그 윌리엄스(Craig Williams)는 “어느 국가나 법률 집행이 전혀 엄격하지 않은 지역이 있다면, 불법 행위를 하고자 하는 세력이 해당 지역에 등장하는 것은 당연하다. 이처럼 범죄 조직이 집중적으로 모인 지역은 유럽뿐만 아니라 사이버 범죄 조직이 공격을 개시하기 위한 효율적인 도피처가 된 남미에도 있다. 따라서 결국 온라인에서 민간 기업과 개인을 겨냥해 개시하는 공격 행위가 끝날 기미가 보이지 않는 상황이다”라고 설명했다.
 
[사진=Freepik]
[사진=Freepik]

사이버 범죄를 외면하는 러시아의 태도는 지난 몇 년간 문제가 됐다. 그러나 일반적으로 선거 개입부터 거액을 투입한 도청 작전까지 러시아 정부가 과감하게 국가 차원에서 지원하는 해킹 행위가 더 큰 주목을 받았다. 지난 18개월간 전 세계의 랜섬웨어 공격 심각성과 발생 빈도 모두 끊임없이 이어지는 문제에서 시급한 위기로 서서히 바뀌었다. 주요 기반시설과 공급망을 대상으로 한 공격은 랜섬웨어 공격 세력이 돈을 벌 수 있는 정도와 관련, 매우 절망적인 전망을 제시했다.

랜섬웨어가 자주 발생하는 주된 원인을 찾는 것은 랜섬웨어 공격 세력을 체포하는 것만큼 범죄 행위에 큰 장애물 역할을 하지 않는다. 미국은 러시아 해커 다수를 체포하고 심지어 콜로니얼 파이프라인이 범죄 조직에 건넨 수백만 달러를 압수하기도 했다. 그러나 랜섬웨어 조직 체포를 위한 정보의 효과를 누리려면 일반적으로 국제적인 협력이 필요하다. 러시아는 미국과 범죄인 인도 협약을 체결하지 않았기 때문에 미국의 랜섬웨어 조직 소탕을 위한 특별한 노력으로 도움을 주지 않을 듯하다. 국가 안보 법무차관 존 데머스(John Demers)가 6월 3일(현지 시각), 기록되어 6월 16일에 공개된 대화 기록으로 밝힌 내용을 보았을 때, 사실 미국 법무부는 콜로니얼 파이프라인 해커를 체포하는 데 굳이 러시아 법률 집행기관의 도움을 받을 필요가 없었다.

데머스 총괄은 사이버 보안 회담인 사이버톡스(CyberTalks)의 일련의 행사를 통해 “현재, 사이버 보안 업계는 랜섬웨어 퇴치를 위해 할 수 있는 일이 거의 없는 상태에 이르렀다. 사이버 범죄 세력은 미국 법률 집행기관의 랜섬웨어 퇴치 노력이 성공하기 어렵게 만든다”라고 말했다.

러시아는 독자적으로 랜섬웨어 퇴치 노력에 협력하지 않으면서 전 세계적인 랜섬웨어 퇴치 노력을 오랫동안 약화했다. 클롭 체포 사례를 예시로 살펴보자. 결국, 우크라이나의 랜섬웨어 조직 체포는 러시아 외 다른 곳에 본거지를 둔 클롭 조직의 핵심 공격에 영향을 미치지 못한 것으로 드러났다.

6월 16일 제네바 회담에서 바이든 대통령과 푸틴 대통령은 사이버 보안과 관련된 몇 가지 주제를 명확히 드러낸 채로 논의했으나 합동 사이버 보안 전담팀 생성을 두고 확실한 합의는 하지 못했다.

푸틴 대통령은 통역사가 동행한 기자 간담회에서 “사이버 보안을 우려하는 한 러시아는 관련 문제를 두고 대화를 시작하는 데 동의한다. 또, 사이버 보안 문제 논의가 매우 중요하다고 생각한다. 러시아와 미국 양측 모두 사이버 보안 대화 의무를 지니고 있다는 점이 확실하다고 추측해야 한다”라고 말했다.

사실, 러시아가 더 협력할 것인지는 더 지켜봐야 한다는 사실은 분명하면서도 불가피하다. 사이버 보안 기업 파이어아이(FireEye)의 정보 애널리스트 부사장인 존 헐퀴스트(John Hultquist)는 “미국이 러시아의 협력 의사를 실험하리라 생각한다”라고 말했다.

6월 16일, 바이든 대통령은 정상회담 이후 러시아의 협력 의지 평가와 비슷한 사안을 제시했다. 랜섬웨어와 관련된 미국과 러시아 간 최후통첩이 있었느냐는 질문을 받자 바이든 대통령은 “러시아가 협력을 위한 행동을 할 것인가? 미국은 이를 알아내야 한다”라고 답변했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The Cl0p Bust Shows Exactly Why Ransomware Isn’t Going Away
이 기사를 공유합니다
RECOMMENDED