By MATT BURGESS, WIRED UK

지난 몇 년간 러시아 사이버 범죄 조직은 처벌을 면한 때가 상대적으로 많은 편이었다. 러시아 정부와 러시아 법률 집행 기관 대부분 심각한 피해를 초래한 랜섬웨어 공격을 외면했다. 그동안 발생한 공격이 러시아 기업을 공격 대상으로 삼지 않았기 때문이다. 서양 세계에서 블라디미르 푸틴을 대상으로 랜섬웨어 조직 퇴치 압박을 가했으나 여전히 사이버 범죄는 러시아 정부의 이익과 매우 깊은 관련성을 지닌 상태이다. 최근 세계에서 가장 악명 높은 사이버 범죄 조직 중 한 곳의 내부 메시지 유출 내용으로 랜섬웨어 조직과 러시아 정부 간의 관련성과 함께 솜방망이 처벌이 이어질 가능성을 엿볼 수 있다.

악명 높은 랜섬웨어 조직 콘티(Conti)의 내부 채팅 메시지와 파일 6만 개를 수집한 유출본은 콘티가 러시아 내에서 얼마나 깊은 연관 관계를 지녔는지 보여준다. 와이어드가 2022년 2월 말, 콘티를 공격한 익명의 우크라이나 사이버 보안 연구원이 처음 온라인에 공개한 콘티의 내부 메시지는 와이어드 팀의 검토 결과, 콘티가 매일 활동하면서 암호화폐 수익 야망이 크다는 사실을 확인할 수 있었다. 더 나아가 콘티 조직원이 러시아 연방 보안국(FSB)와 깊은 관련성을 지닌 사실과 러시아 정부 지원을 받는 군대 산하 해커 세력이 작전을 깊이 이해했을 가능성도 드러났다.

전 세계가 코로나19 확산세와 2020년 7월 초기의 코로나바이러스 대유행에 대응하는 데 난항을 겪는 상황에서 세계 각지의 사이버 범죄 조직이 코로나19라는 보건 위기 상황에 주목했다. 그해 7월 16일, 영국과 미국, 캐나다 정부는 초기 백신 후보군 관련 지식 재산권 탈취를 시도한 사실을 두고 러시아 국가 주도 군사 해커 조직을 예의주시할 것을 명령했다. APT29라고도 알려진 해킹 조직 코지 베어(Cozy Bear)는 변경된 멀웨어와 이미 알려진 취약점을 악용해 여러 제약 회사와 대학 연구 기관을 공격했다.
 
며칠 뒤 콘티의 우두머리는 코지 베어의 해킹 시도를 이야기하며, 콘티의 랜섬웨어 공격을 언급했다. 콘티의 CEO 격인 인물인 스턴(Stern)과 또 다른 고위급 조직 구성원인 프로페서(Professor)는 정부 주제를 위해 특별 사무실을 설립하는 것을 논의했다. 그 자세한 내용은 와이어드의 최초 보도 내용과 콘티의 유출된 내부 메시지에 포함됐다. 같은 대화에서 스턴은 외부에서 누군가가 콘티에 자금을 지원한다고 언급하며, 자원을 통해 피해 기관을 통제하는 것을 논의했다. (다만, 외부에서 콘티에 자금을 지원하는 목적은 언급되지 않았다.) 프로페서는 “콘티에 자금을 지원하는 외부 기관은 코로나19 관련 자료를 대거 얻으려 한다. 코지 베어는 이미 조직에서 자체적으로 해킹 공격을 개시한다”라고 말했다.

보안 기업 맨디언트(Mandiant)의 사이버 범죄 분석 국장 킴벌리 구디(Kimberly Goody)는 “콘티는 장기 계획 수립을 언급하며, 추후 외부 기관이 도움이 되리라 예측한 것으로 보인다. 법률 집행 기관의 대응을 싫어한다면, 외부 기관이 돕는다는 것을 언급한 듯하다”라고 말했다. 이어, 콘티가 러시아 FSB 사무실이 있는 상트페테부르크의 리테이니 애비뉴(Liteyny Avenue)를 언급한 사실을 지목했다.
 
콘티와 러시아 정부 간 직접적인 관련성은 불확실하지만, 콘티의 활동은 러시아의 국익에 부합한다. 보안 기업 리코디드 퓨처(Recorded Future) 소속 애널리스트 앨런 리스카(Allan Liska)는 “유출된 대화의 표현은 콘티 우두머리가 러시아 정부의 명시되지 않은 지침을 따르는 범위에서 랜섬우어 공격을 개시할 수 있다는 사실을 이해한 듯하다”라며, “적어도 러시아 정부 관계자와 콘티 우두머리 간 몇 차례 대화를 주고받은 것으로 보인다”라고 설명했다.

2021년 4월, 콘티 조직 형성을 도운 주요 관리자인 망고(Mango)는 프로페서에게 “콘티가 정치 관련 활동을 하는가?”라는 질문을 했다. 프로페서가 추가 정보를 요청했을 때, 망고는 조니보이77(JohnyBoy77)라는 가명을 사용하는 누군가와 나눈 대화 메시지를 공유했다. 모든 조직원은 정체를 숨길 의도로 가명을 사용한다. 해당 메시지는 러시아 연방에 맞선 활동을 하는 이를 논의했으며, 반정부 인사의 정보 탈취 가능성도 언급했다. 조니보이77은 콘티 조직원 중 오픈소스 탐사보도 언론인 벨링캣(Bellingcat)과 관련된 인물의 데이터에 접근할 수 있는 이가 있는지 물어보았다. 벨링캣은 과거, 러시아 해커 조직과 비밀리에 움직인 암살 네트워크에 대한 사실을 폭로했다.

특히, 조니보이77은 러시아 야당 대표 알렉세이 나발니(Alexey Navalny)를 공격한 독극물 투약 계획 관련 벨링캣 조사 관련 정보를 원했다. 조니보이77은 벨링캣이 입수한 나빌니 관련 파일을 요청하며, 밸링캣 관계자의 패스워드 접근과 FSB를 언급했다. 벨링캣 국장인 크리스토 그로제븐(Christo Grozevm)은 콘티 내부 대화가 유출된 후 FSB가 콘티와 벨링캣 기여 단체 해킹을 이야기한 사실을 밝혔다. 망고는 해당 파일과 관련, 프로페서에게 “그러니 콘티는 애국자 단체인가?”라는 질문을 했다. 이어, 망고는 “우리 모두 애국자다”라는 답변을 받았다.

러시아 애국주의는 구성원 다수가 러시아에 생활하는 콘티 조직 전반에 계속 존재한다. 그러나 콘티의 활동 범위는 전 세계적이며, 우크라이나와 벨라루스, 그리고 그보다 더 먼 국가에도 조직원을 두고 있다. 콘티 조직원 모두가 러시아의 우크라이나 침략에 동의하는 것은 아니며, 많은 조직원이 전쟁 관련 대화를 주고받았다. 리스카는 “랜섬웨어 조직이 세계 각지에 조직원을 두고 있다. 단순히 콘티 우두머리가 러시아 정치와 깊이 관련되었다는 사실은 콘티 조직원과 관련 기관 모두 콘티 우두머리와 같은 생각을 지녔다는 의미는 아니다”라고 말했다. 2021년 8월 이어진 일련의 대화에서 스푼(Spoon)이라는 인물과 망고는 크림 반도 관련 이야기를 했다. 2014년, 러시아는 크림 반도를 침략한 뒤 합병 선언을 했다. 이에, 대다수 서양 국가 지도자는 크림 반도 침략을 막기 위해 더 많은 조치를 택해야 했다고 말한다. 스푼과 망고는 크림 반도가 아름다운 곳이라고 이야기했으며, 스푼은 10년간 크림 반도를 찾은 적이 없다고 언급했다. 그는 “내년에 한 번 크림 반도를 찾아 상황을 살펴볼 것이다. 러시아 크림 반도를 방문할 것이다”라고 말했다.

콘티 조직원은 러시아나 정부 기관의 이익을 언급했으나 러시아 정부 관료 대신 사이버 공격을 개시하는 것은 아닌 듯하다. 콘티 고위급 관리자 몇 명이 연락을 주고받았을 수 있으나 일반 코드 작업 및 프로그램 작업 담당 조직원은 서로 연락망을 두고 주기적으로 활동하지 않는다. 구디 국장은 “콘티 조직 작전이 조직 전체 단위로 움직이기보다는 실제 직접적인 관계를 형성한 이들의 제한된 부분 집합에 더 가깝다고 본다”라고 언급했다.

콘티의 내부 파일이 2월 27일과 28일 공개되자 콘티는 사이버 범죄 활동을 위해 복귀했다. 보안 기업 멀웨어바이츠(Malwarebytes)의 위협 인텔리전스 국장인 제롬 세구라(Jérôme Segura)는 “콘티는 내부 메시지 유출 이후 반응을 보였다. 몇 가지 대화를 폐쇄하고 개인 대화로 전환한 것을 확인할 수 있다. 그러나 활동은 평소와 같이 이어갔다”라고 설명했다. 콘티는 내부 메시지 유출 후 몇 주간 자체 웹사이트에 랜섬웨어 공격 피해 기관의 이름과 파일을 공개했다.

사이버 보안 연구계에서 유출된 파일로 조직원의 실명으로 추정되는 이름을 이용하는 상황에서도 콘티는 랜섬웨어를 계속 개시한다. 그러나 콘티가 직면한 더 심각한 위협은 내부 메시지 유출이 아닌 러시아 정부의 위협인 것으로 보인다. 1월 14일(현지 시각), 러시아는 지금까지 랜섬웨어 조직을 상대로 펼친 가장 중요한 활동을 개시했다. FSB는 미국 관료가 몇 차례 메시지를 보내자 또 다른 사이버 범죄 조직 레빌(REvil) 조직원 14명을 체포했다. 그러나 레빌은 수개월 동안 활동을 중단했다. 리스카는 “러시아 당국에서 콘티 우두머리가 정부에 필요한 것 이상으로 오래 활동했다고 생각한다면, 콘티를 겨냥한 조처를 할 수도 있다. 그러나 콘티가 계속 정부와 접촉하여 랜섬웨어 공격을 개시하거나 조직 이름을 바꿀 수 있다면, 콘티의 활동을 방관할 수도 있다. 만약, 러시아 정부가 콘티를 상대로 행동을 취한다면, 조직원 일망타진과 함께 레빌을 겨냥한 것과 비슷한 조처를 할 것으로 보인다. 그리고 체포 사실은 1개월 이상이 지나서 공개할 수도 있다”라고 예측했다.

러시아 당국이 콘티 조직원 견제에 나설 것인지는 확실하지 않다. 그러나 내부 메시지 유출 전부터 콘티는 매우 지나친 불안감에 휩싸였다. 2021년 11월, 콘티 조직원 카가스(Kagas)는 스턴에게 “누군가가 콘티를 쫓는 것 같다. 낯선 차량이 마당에 주차됐으며, 차 안에는 두 명이 탑승했다”라는 메시지를 보내며 불안감을 드러났다. 카가스는 법원 판결을 언급하며, 미행이 끝날 때까지 활동을 중단해야 한다고 말했다. 그는 “변호인단은 13일까지 아무런 활동을 하지 않고 조용히 있는 것이 좋다고 말했다. 평범하게 지내다가 추후 상황을 지켜보겠다”라는 메시지를 추가로 전송했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Leaked Ransomware Docs Show Conti Helping Putin From the Shadows