몇 달간 급격히 심각한 수준으로 공격을 늘린 뒤 러시아의 악명 높은 랜섬웨어 조직인 레빌(REvil)과 다크사이드(Darkside)가 2021년 여름, 몇 주간 사라졌다. 두 조직이 사라지기 직전 백악관과 미국 법률 집행기관 모두 랜섬웨어 퇴치 전쟁을 다짐하고는 가장 무자비한 사이버 범죄 조직의 은신처까지 제공하는 것으로 추정되는 여러 국가 정부에 맞섰다. 지금은 미국 정부의 랜섬웨어 퇴치 전쟁이 공식적으로 중단된 상태이다.
2021년 상반기, 레빌과 다크사이드는 IT 서비스 기업 카세야(Kaseya)와 미국 동부 해안가 송유관 기업 콜로니얼 파이프라인(Colonial Pipeline) 연료 분배 시스템 장애와 글로벌 육류 가공 기업 JBS 등에 치명적인 피해를 준 악명 높은 랜섬웨어 공격을 개시했다. 랜섬웨어의 여파가 더 심각해지자 2021년 4월, 공공 부문과 민간 기업이 협력하여 랜섬웨어 전담팀을 형성했다. 또, 미국 법률 집행기관은 랜섬웨어를 퇴치하려는 행동에 나섰다. 2021년 6월, 미국 연방수사국(FBI)은 콜로니얼 파이프라인이 다크사이드에 랜섬웨어로 암호화된 데이터 해제 값으로 건넨 400만여 달러 상당의 암호화폐를 압수했다. 9월 21일(현지 시각), 워싱턴포스트 보도에 따르면, FBI가 레빌의 서버에서 카세야 랜섬웨어 암호화 해제 키를 확보했으나 한동안 카세야와 상당수 피해 기관에 건네지 않고 레빌의 사이버 공격 인프라를 완전히 무력화할 작전을 이어갔다. 레빌은 FBI의 퇴치 작전 종료 전 갑자기 사라졌다.
백악관 국가 보안 차관인 앤 노이버거(Anne Neuberger)는 8월 초, 기술적 유사성 때문에 다크사이드에서 파생된 조직인 블랙매터(BlackMatter)가 중요 기반 시설을 피한 채로 공격을 개시하겠다고 밝힌 사실에 주목했다. 노이버거 차관은 러시아 정부가 랜섬웨어 관련 요청에 주목할 가능성과 2021년 초여름, 조 바이든 대통령이 랜섬웨어에 경고한 사실을 이야기했다.
그리고 9월 초, 노이버거 차관은 “랜섬웨어 발생 건수가 감소했다. 미국 시민과 기관의 사이버 공격 피해 위험성이 감소했다고 생각한다”라며, “랜섬웨어 공격이 감소한 이유는 많을 것이다. 따라서 랜섬웨어 감소 추세에 주목하고, 앞으로도 지금과 같은 상황이 이어지기를 바란다”라고 말했다.
“어느 한 조직이 사라지는 즉시 해당 조직에서 파생된 조직이 활동한다.”
케이티 니켈스, 레드카나리
노이버거 차관의 바람대로 랜섬웨어 공격이 계속 감소하지는 않을 듯하다. 미국 근로자의 날 연휴 이후 레빌과 다른 여러 랜섬웨어 조직이 다시 등장했다. 9월, 블랙매터 소속으로 밝혀진 러시아 해커 세력이 미국 식량 공급의 핵심이 되는 주요 기반 시설인 아이오와 곡물 수확 기업인 뉴코아퍼레이티브(New Cooperative)를 겨냥해 590만 달러를 탈취하기 위한 랜섬웨어 공격을 개시했다. 9월 20일(현지 시각), 미국 사이버보안 및 인프라 안보국(CISA)와 국가안전보장국(NSA), FBI가 러시아의 서비스형 랜섬웨어(RaaS) 조직이 유포한 콘티(Conti) 랜섬웨어를 악용한 공격이 총 400건 넘게 발생한 사실을 관측했다는 합동 경고문을 발표했다. 콘티 랜섬웨어 배포 세력은 2020년, 병원 시설을 겨냥한 불쾌한 랜섬웨어에도 개입한 것으로 알려졌다.
[사진=Freepik]
미국 정부는 전반적인 랜섬웨어 대응책을 추진하고 있다. 9월 21일(현지 시각), 재무부는 랜섬웨어 자금 세탁 개입 의혹에 연루된 가상자산 거래소 수엑스(Suex)에 제재를 가할 것이라고 밝혔다. 재무부는 랜섬웨어 피해가 발생 시 랜섬웨어 조직이 요구하는 금액을 건네면서 제재를 위반하지 않도록 재무부에 연락해야 한다는 점도 함께 명시했다. 랜섬웨어로 타격을 받았을 때, 피해 사실을 알리도록 하려는 백악관의 광범위한 노력과 부합하는 조처이다. 미국은 모든 랜섬웨어 공격을 반영할 중앙 데이터세트를 보유하지 않았으며, 상당수 피해 기업은 최대한 랜섬웨어 사건을 공개적으로 알리지 않는 것을 선호한다.
해커 세력은 이미 미국 법률 집행기관의 랜섬웨어 퇴치 노력을 받아들이고 적응할 준비가 된 듯하다. 일부 조직은 피해 기관을 대상으로 정부에 피해 사실을 알리지 않도록 경고하면서 정부에 공격 발생 사실을 보고하면 탈취한 파일을 공개할 것이라는 위협을 가한다. 또, 많은 랜섬웨어 조직이 보이지 않는 곳에서 전략화와 조직 개편, 공격 수단 재구성 과정을 준비하는 데 시간을 투자해, 눈에 띄는 심각한 공격 사례가 급격히 감소했다.
사이버 보안 기업 레드 카나리(Red Canary) 소속 정보 책임자인 케이티 니켈스(Katie Nickels)는 “랜섬웨어 퇴치는 장기적인 전쟁이라는 점이 확실하다. 어느 한 조직이 사라지는 즉시 해당 조직에서 파생된 조직이 활동한다. 랜섬웨어 공격이 감소한 것으로 관측된 7월과 8월에도 매일 공격이 발생했다. 또, 피해 기관에 데이터가 다크웹에 매일 유출되기도 했다. 따라서 희소식이 있다면, 미국 정부가 랜섬웨어에 대응하면서 이를 우선순위로 둔다는 사실이다. 그러나 랜섬웨어 전쟁 승리를 선언하기에는 시기상조이다”라고 설명했다.
NSA 소속 해커 출신인 사이버 공격 대응 기업 브리치퀘스트(BreachQuest)의 최고 기술 관리자인 제이크 윌리엄스(Jake Williams)는 지난 몇 개월간 랜섬웨어 공격 사례가 감소한 것을 확인했으나 랜섬웨어 위협 자체가 서서히 사라진다는 환상은 전혀 없었다고 말한다.
윌리엄스는 “랜섬웨어 조직이 위험성을 다시 계산하면서 공격 수단 재구성과 새로운 수법을 구축해 조직 운영을 유지하는 것으로 보인다. 법률 집행기관이 하루 동안 랜섬웨어 조직의 인프라를 무력화할 수 있으나 랜섬웨어 공격 자체로 금전적 이익을 취할 수 있는 한 랜섬웨어 조직은 절대 사라지지 않을 것이다”라고 분석했다.
심각한 피해가 발생하면서 널리 알려진 랜섬웨어 공격도 일부 측면에서는 전혀 중단되지 않는 여러 차례 주목을 받지 않은 랜섬웨어 공격의 꾸준한 타격을 숨기지는 못한다.
랜섬웨어에 대응할 암호화 해제 수단도 개발하는 바이러스 방지 기업 엠시소프트(Emsisoft)의 최고 기술 관리자인 파비안 워사(Fabian Wosar)는 “엠시소프트가 보유한 데이터를 보았을 때, 2021년 여름 전 세계와 미국 내 랜섬웨어 공격 모두 눈에 띌 정도로 감소하지 않았다”라고 밝혔다. 이어, 심각한 공격을 개시하다가 잠적한 조직도 결국 다시 등장할 것이라고 덧붙였다.
워사는 “특히 레빌이 완전히 사라지지 않을 것이라는 사실이 분명하게 드러났다. 또, 다크사이드도 영원히 사라질 일이 없을 것이 매우 확실하게 드러났다. 랜섬웨어 조직의 인프라가 사라지는 동시에 법률 집행기관이 랜섬웨어 조직을 잡으려는 상황에서도 랜섬웨어 공격으로 수천만 달러까지는 아니더라도 최소 수백만 달러를 벌어들였을 것이다. 따라서 랜섬웨어 조직이 완전히 사라지도록 하기에는 너무 늦었다”라고 설명했다.
사이버 공격 세력이 랜섬웨어만큼 큰 돈을 만질 수 있는 위협과 함께 수 주 혹은 수개월까지 잠적하면서 조직 개편을 하는 사이에 미국 정부 관료는 랜섬웨어와의 전쟁을 위해 더 적극적인 노력을 펼칠 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202109/3425_4522_1658.jpg)
뉴스레터 신청