2021년 7월 초, 독립기념일과 주말을 앞두고 IT 관리 기업 카세야(Kaseya)를 겨냥한 랜섬웨어 공격이 기업 수백 곳의 네트워크를 마비시켰다. 그리고, 악명 높은 랜섬웨어 조직인 레빌(REvil)이 데이터를 암호화했다. 이제 미국 당국은 그 자체로 유례없는 조처를 했다. 2021년 10월, 랜섬웨어 용의자로 추정되는 우크라이나 남성을 체포하고, 현재 폴란드에서 범죄인 인도를 기다리고 있다.
랜섬웨어 조직은 지난 몇 년간 공격을 개시하고도 처벌을 피하는 사례가 상대적으로 많았다. 그 부분적인 이유는 다수 조직이 러시아에 본거지를 두고 있으며, 러시아 전부가 계속 랜섬웨어 공격을 외면한 탓이다. 2021년 11월 8일(현지 시각), 법무부는 법률 집행 기관이 택한 복합 접근 방식이 효과가 있을 것이라고 말한다. 22세 용의자인 야로슬라프 바신스키(Yaroslav Vasinskyi) 체포와 범죄인 인도 사례는 법률 집행 기관 관료는 랜섬웨어 조직이 실수할 때, 공격의 배후에 있는 핵심 인물을 체포할 수 있다는 사실을 보여준다. 또 다른 중요한 발표 내용은 러시아 국적자인 예그니 폴리야닌(Yevgeniy Polyanin)을 통해 받은 랜섬웨어 범죄 수익으로 추정되는 610만 달러를 압수한 사실이다. 랜섬웨어 조직의 범죄 수익 압수 소식은 당국이 랜섬웨어 세력을 구금할 수 없어도 공격 목표 달성에 큰 지장을 줄 수 있다는 사실을 의미한다.
11월 8일(현지 시각), 메릭 갈랜드(Merrick Garland) 검찰총장은 기자회견 현장에서 “바신스키 체포 사실은 법률 집행 기관이 국제 협력 기관과 함께 사이버 범죄 용의자의 위치를 떠나 정체와 위치를 파악하고 체포하기 위해 얼마나 신속한 대응을 펼치는가 입증한다. 랜섬웨어 공격의 동기는 범죄 수익이다. 이 때문에 법률 집행 기관은 단순히 공격을 개시한 용의자 개인만 추적하지 않는다. 피해자가 금전 갈취를 당했을 때, 가능할 때마다 불법 수익을 추적하고는 그 금액을 피해자에게 돌려주려는 노력을 펼치기도 한다”라고 말했다.
바신스키와 폴리야닌 기소 사건과 관련해 더 자세히 설명된 바는 없다. 바신스키는 2019년 12월, 랜섬웨어 관계 조직을 모색하는 어느 한 러시아 해커 포럼 공고에 반응을 보이면서 레빌에 합류한 것으로 알려졌다. 랜섬웨어 코드 작성자는 기본적으로 해킹 툴 일시 공급 계약을 체결한다. 그 대신 범죄 수익의 일정 부분을 나누어 갖는다. 사이버 범죄에 맥도날드의 사업 모델을 적용한 것과 같다고 이해할 수 있다. 바신스키는 소프트웨어 업데이트를 통해 여러 고객사로 피해 범위가 확대된 카세야 랜섬웨어 공격을 시행한 혐의로 기소됐다. 결국, 카세야 랜섬웨어 사태로 기업 1,500곳이 피해를 보았다.
[사진=Freepik]
28세 용의자인 폴리야닌도 여러 피해 기관에 레빌 랜섬웨어 공격을 개시한 혐의로 기소됐다. 기소 결과, 적어도 2019년 8월, 텍사스주 지방 정부 기관 상당수를 공격으로 한 각종 랜섬웨어 공격이 폴리야닌의 소행으로 확인됐다. 러시아에 거주하는 폴리야닌은 여전히 총 3,000가지 랜섬웨어 공격 링크를 두고 피해 기관을 대상으로 총 1,300만 달러가 넘는 금액을 갈취하려 한 것으로 추정된다.
보안 기업 리코디드 퓨처(Recorded Future) 소속 애널리스트인 앨런 리스카(Allan Liska)는 “법무부의 랜섬웨어 용의자 체포와 랜섬웨어 공격 수익 압수 소식은 모든 측면에서 희소식이다. 랜섬웨어 공격 세력이 러시아에 있더라도 안전하지 않다는 사실을 상기시키는 역할을 하기 때문이다. 법무부는 이번에 ‘체포할 수 없다면, 적어도 랜섬웨어 범죄 수익을 압수할 것이다’라는 메시지를 보냈다. 랜섬웨어 조직이 간혹 러시아 이외 다른 곳에서 공격을 개시하더라도 마찬가지이다. 법률 집행 기관의 권한을 보여주었다”라고 말했다.
최근, 미국 재무부가 발표한 제재와 국무부의 악명 높은 랜섬웨어 조직 다크사이드(DarkSide) 관련 정보 제공자 대상 보상 지급 계획과 법무부의 랜섬웨어 용의자 체포 및 범죄 수익 압수 소식 모두 합한 행보는 바이든 행정부의 ‘범정부(whole of government)’ 랜섬웨어라는 표현을 반영한다.
11월 8일(현지 시각), 유로폴은 루마니아 법률 집행 기관이 레빌 산하 조직과 관련된 용의자 2명을 체포한 소식을 발표했다. 루마니아 당국이 체포한 용의자 두 명 모두 총 5,000여 차례의 랜섬웨어 공격을 개시하고, 피해자에게 총 60만 달러를 갈취한 혐의를 받는다. 이날, 미국 법무부는 루마니아 법률 집행 기관의 랜섬웨어 용의자 체포 사례를 포함한 세계 각국의 법률 집행 기관의 랜섬웨어 퇴치 작전 관련 발언을 언급했다.
리스카는 “한 가지 주목할 만한 점이 있다면, 법무부가 랜섬웨어 퇴치 협력 작전을 위해 루마니아와 에스토니아 등 약소국을 이야기한 것이다. 러시아를 더 고립하기 좋은 전략이라고 생각한다”라고 말했다.
또, 미국 정부 관료는 카세야가 랜섬웨어 공격 사태를 계기로 법률 집행 기관과 협력한 점을 칭송했다. 이는 어렵더라도 잠재적으로 중요한 균형 유지라는 목표 달성을 위한 노력을 시사할 수 있다. 미국 정부는 오래전부터 피해자에게 랜섬웨어 조직이 요구하는 금전을 건네지 않도록 독려했다. 그러나 강경한 접근방식은 많은 피해자가 피해 사실 신고를 경계하고, 랜섬웨어 대응을 위한 선택권을 제한할 수도 있는 한 가지 요인이 됐다. 법률 집행 기관은 랜섬웨어 조직이 요구하는 돈을 건네지 않도록 독려하는 동시에 피해 사실을 신고하고 법률 집행 기관과 협력해, 랜섬웨어 조직을 상대로 신속하게 대응하도록 유도하는 전략에 재집중한 듯하다.
사이버 보안 기업 레드카나리(Red Canary)의 정보국장인 케이티 니켈스(Katie Nickels)는 “랜섬웨어 대응 발표가 광범위하게 이루어졌다는 특성 때문에 랜섬웨어 퇴치 전망을 조심스레 낙관한다. 사실, 레빌은 카세야 랜섬웨어 사태 이후 세력이 쇠퇴했다. 그러나 지금도 레빌 이외 다른 여러 조직이 매우 심각한 문제를 일으킨다. 랜섬웨어 공격 세력이 바이든 행정부의 대응을 랜섬웨어 공격 제한으로 볼 것인가? 법률 집행 기관은 계속 랜섬웨어 조직의 범죄 수익을 압수할 수 있을까?”라고 말했다.
2021년, 레빌과 그 관련 조직 모두 여러 차례의 랜섬웨어 공격을 성공적으로 개시했다. 카세야 랜섬웨어 사태 전, 글로벌 육가공 기업 JBS를 비롯한 여러 대기업과 주요 기반 시설 등을 겨냥한 공격을 개시하기도 했다. 러시아 랜섬웨어 조직 다크사이드에 대한 철저한 감시와 함께 카세야, JBS 등을 겨냥한 공격 등 악명 높은 사이버 범죄 모두 레빌이 2021년 여름 들어 활동을 줄일 수밖에 없도록 만들었다. 가을이 되자 레빌이 다시 기승을 부리기 시작한 듯했다. 그러나 레빌의 디지털 기반 시설에 타격을 준 뒤 제거한 국제 법률 집행 기관 작전으로 레빌의 공격이 무력화됐다.
니켈스 국장을 포함한 다수 보안 연구원은 법률 집행 기관 관료가 최근과 같은 대응 방식을 유지할 수 있다면, 랜섬웨어 대응 수준을 실제로 더 향상할 수 있다고 입을 모아 말한다. 법무부도 최적의 랜섬웨어 퇴치 노력을 마련하고자 갈망하는 듯하다.
갈랜드 검찰총장은 “11월 8일, 5개월 만에 두 번째로 국경을 넘어 활동을 개시하는 범죄 조직이 유포하는 랜섬웨어의 디지털 성과를 압수한 사실을 발표한다. 랜섬웨어 용의자 체포와 범죄 수익 압수는 나중에도 이어질 것이다”라고 발표했다.
그러나 지금까지 랜섬웨어 공격의 타격이 계속 발생하는 상황이다. 아직 법률 집행 기관의 표적이 되지 않아 공격 세력을 확산하는 여러 랜섬웨어 조직 때문이다. 정부 관료가 랜섬웨어 세력을 상대로 계속 압력을 가하면서 랜섬웨어와의 전쟁 승리를 선언할 수 있다고 확실한 결론을 내리기 어렵다. 그러나 사상 최초로 미국 정부 산하 기관과 해외 법률 집행 기관 모두 랜섬웨어 퇴치 전략을 분명히 하고, 확실하게 행동으로 옮긴 듯하다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202111/3527_4637_3452.jpg)
뉴스레터 신청