10월 27일(현지 시각), 러시아 랜섬웨어 조직 그리프(Grief)가 전미총기협회(NRA)에서 탈취했다고 주장하는 데이터 샘플을 게재했다. 랜섬웨어 공격을 다루는 것은 언제든지 매우 고통스러운 일이다. 그러나 그리프의 등장은 다른 랜섬웨어 공격 사례보다 더 복잡하다. 그리프가 2019년 12월부터 미국 재무부의 제재 대상으로 이름을 올린 악명 높은 사이버 범죄 조직 에빌 코프(Evil Corp)와 관련된 조직이기 때문이다. 만약, 그리프가 랜섬웨어 공격으로 요구하는 데이터값을 건넨다면, 중범죄 처벌을 받을 수 있다.
미국 정부는 갈수록 사이버 범죄 조직 제재에 더 강력히 대응하는 모습을 보였으며, 지난 몇 달간 백악관은 다른 랜섬웨어 조직도 블랙리스트에 추가될 것이라고 암시했다. 백악관의 랜섬웨어 퇴치 노력이 증가하면서 백악관은 랜섬웨어 조직과 피해 기관 모두를 대상으로 한 접근 방식을 구상했다.
NRA는 랜섬웨어 공격 발생 사실을 대외적으로 확인하는 발표를 하지 않았다. 또, 사이버 보안 연구원이 말하는 애플리케이션 허가와 정치인 승인 서한, 최근의 NRA 회의가 진행된 정확한 시간대 등 랜섬웨어 조직이 의도적으로 탈취한 문건의 유효성도 밝히지 않았다. 다만, NRA가 2021년 10월 말이나 주말 사이에 랜섬웨어 공격을 당한 것으로 드러났다. 랜섬웨어 발생 시점은 NRA의 이메일 시스템에 장애가 발생한 것으로 알려진 시간대와 일치한다.
10월 29일(현지 시각), 그리프는 다크웹에 게재한 NRA 관련 게시글을 삭제했다. 바이러스 방지 기업 엠시소프트(Emsisoft) 소속 위협 애널리스트 브렛 칼로우(Brett Callow)는 랜섬웨어 조직의 데이터 유출 위협 관련 글을 지나치게 많이 읽는 것에 경계했다. 리스트 제거는 랜섬웨어 조직이 요구하는 돈을 건넸다는 사실을 시사한다. 그러나 단순히 랜섬웨어 조직이 상황 조사 시간을 확보하고 대응 계획을 공식화하고자 하는 피해 기관과의 데이터값 협상 시도를 시작했다는 사실을 의미할 수도 있다. 랜섬웨어 공격 세력은 간혹 공격 사례가 법률 집행 기관의 지나친 큰 관심을 받는다면, 금전 갈취 시도를 포기하기도 한다.
[사진=Pixabay]
어쩌면 그보다 더 흥미로운 사실은 그리프 자체가 상당수 사이버 보안 연구원이 동의한 바와 같이 에빌 코프의 여러 최전방 사이버 범죄 기관 중 하나라는 사실이다. 랜섬웨어 조직의 불분명하고 의심스러운 웹과 멀웨어를 고려했을 때, 일부 사이버 보안 전문가는 그리프가 에빌 코프와 같은 조직이라기보다는 에빌 코프에서 분리된 조직이라고 생각한다. 많은 애널리스트가 파일 암호화 형태와 유포 메커니즘, 공개된 링크 등 그리프, 에빌 코프의 공격 수법과 인프라를 조사하는 중이다. 그리프의 공격 사례를 보았을 때, 그리프는 도플페이머(DoppelPaymer) 등 에빌 코프와 관련된 다른 기관과 기술적 유사성이 있으며, 그동안 에빌 코프의 서명 제품이었던 드리덱스(Dridex) 봇넷을 사용한 것으로 관측됐다.
칼로우는 “그리프는 천천히, 그리고 간혹 꾸준히 사이버 공격을 개시했다. 에빌 코프가 피해 기업을 속여 금전을 건네도록 하고자 동원한 여러 조직의 순환을 보았을 때, 상당수 피해 기관이 미국 재무부의 제재를 받는 기관의 공격을 다룬다는 사실을 인지하지 못했다. 혹은 타당한 공격 부인 사유를 제공하기도 했다”라고 설명했다.
다수 랜섬웨어 전문가는 재무부의 제재로 에빌 코프의 공격 표적 지정과 데이터값 지불을 중단하지 못한 사실에 주목한다. 다만, 제재가 에빌 코프의 공격에 어느 정도 영향을 미쳐 해커 세력이 대외적으로 보이는 모습을 자체적으로 구성하고는 피해 기관과 어떤 내용으로 소통할 것인지 재구성할 수밖에 없도록 만들었다.
보안 기업 리코디드 퓨처(Recorded Future) 소속 애널리스트인 알란 리스카(Allan Liska)는 “에빌 코프의 공격 개시 상황이 흥미롭다. 종종 랜섬웨어 조직은 피해 기관이 확실히 데이터값을 건네도록 하기 위해 다른 조직 행세를 하지는 않는다. 만약, 콘티(Conti)나 락비트(Lockbit)가 개시한 공격을 당했다면, 콘티나 락비트가 공격한 사실을 알 수 있다. 따라서 에빌 코프가 다른 조직의 이름을 내세운 것은 재무부 제재 때문에 전략을 변경한 사실을 시사한다. 도플페이머와 그리프, 기타 일부 랜섬웨어 세력과 조직이 에빌 코프와 관련이 있다”라고 말했다.
그리프 등 다른 랜섬웨어 조직은 그동안 갈수록 피해 기관이 법률 집행 기관에 공격 사실을 신고하거나 사이버 보안 사건 대응 기업에 알리지 않도록 경고했다. 피해 기관을 법률 집행 기관이나 사이버 공격 대응 기관과 고립시키려는 시도는 피해 기관이 최대한 절망적이면서도 불확실한 상황을 직면하도록 한다. 또, 에빌 코프 등 제재 대상이 된 사이버 범죄 조직에는 신고 금지 경고가 피해 기관이 데이터값을 건넨 후 발생할 수 있는 잠재적인 결과 관련 조언을 듣지 않는 상태를 유지하려는 의도를 지닐 수도 있다.
10월 27일(현지 시각), 앤드류 아루라난담(Andrew Arulanandam) NRA 공공 문제 관리국장은 트위터에 “NRA 내부에서 진행 중인 물리적 보안이나 전자 보안 관련 문제 논의 사항은 없다. 다만, NRA는 구성원과 후원 기관, 운영 관련 정보 보호를 위한 추가 조처를 하고 있다. 또, 정보 보호를 위해 항상 신중한 태도를 취하고 있다”라고 게재했다.
10월 29일, NRA는 그리프가 요구한 데이터값 지급 혹은 그리프와의 협상 진행 여부 관련 질문에 답변하지 않았다.
미국 재무부 해외재산관리국(OFAC)은 2021년 9월 말에 개정된 경고문을 통해 타당한 거부 사유도 제재 대상에 포함된 사이버 조직에 데이터값을 건넨 사유를 정당화할 수 없다고 강조했다.
OFAC는 “엄격한 법적 책임에 따라 제재 위반 사항과 관련 민사 처벌을 할 수 있다. 즉, 미국 사법권의 적용 범위에 해당하는 이들 누구나 제재법으로 금지된 기관이나 개인과의 거래를 할 수 없다는 사실을 인지하지 못하거나 거래할 수밖에 없었던 이유를 제시한다면, 민사법상의 책임을 져야 할 것이라는 의미이다”라고 명시했다.
더 나아가 OFAC는 일부 완화 요소가 금지된 랜섬웨어 데이터값 지급 행위를 한 특정 피해 기관에 매우 가벼운 처벌만 하는 결과로 이어질 수 있다고 설명했다. 구체적으로 말하자면, 사이버 보안 방어 관련 중대한 사전 투자와 법률 집행 기관이 즉시 공격 행위를 추적 중인 기관 등을 언급할 수 있다. OFAC는 간혹 벌금을 부과하거나 다른 민사 처벌을 가하는 대신 비조치 의견서나 주의 서한을 발행하면서 제재 위반 기업에 비공식 대응을 한다고 밝혔다.
제재는 랜섬웨어 피해 기관이 고려해야 할 여러 가지 요소 중 하나이다. 랜섬웨어 조직은 NRA 등 유명한 피해 기관을 특히 집중적으로 겨냥한다. 그러나 이는 사이버 범죄 조직 제재가 존재하는 이유를 항상 설명하는 요소는 아니다. 랜섬웨어 공격 사실 공개의 혜택을 제공해, 법률 집행 기관이 최대한 일찍 사건 수사에 직접 개입하도록 할 수 있기 때문이다. 장기적으로 사이버 공격을 단속하는 데 도움이 될 수 있으나 최대한 빨리, 그리고 피해 없이 사건을 처리하고자 하는 방향으로 피해 기관을 풀어주는 데는 도움이 되지 않는다.
칼로우는 “재무부의 제재가 랜섬웨어 조직의 행동에 영향을 미치는 것은 확실하다. 그러나 피해 기관에 어느 정도 영향을 미치는지는 알 수 없다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202111/3503_4610_2555.jpg)
뉴스레터 신청