지난 2개월간 코스타리카가 사면초가에 빠졌다. 두 차례 이어진 심각한 랜섬웨어 공격으로 코스타리카 현지 기본 서비스 상당수가 붕괴됐으며, 정부는 서둘러 랜섬웨어 피해에 대응하면서 순식간에 혼란에 빠졌다. 정부 관료는 랜섬웨어 공격 여파로 의료 진료 예약 3만 건 넘게 재예약해야 하는 문제가 발생해 국제 거래가 중단됐으며, 납세자도 큰 피해를 겪었다고 발표했다. 수백만 달러 규모의 손실 발생과 함께 피해를 겪은 기관은 펜과 종이로 문서를 수기 작성해야 했다.
2022년 초반 치른 선거 이후 국정 운영 중반기에 접어든 시점에 랜섬웨어를 겪은 코스타리카 정부는 랜섬웨어에 맞서 국가 비상사태를 선포했다. 이로써 코스타리카는 세계 최초로 국가 차원의 비상사태로 랜섬웨어에 대응한 국가가 되었다. 로드리고 차베스(Rodrigo Chaves) 신임 대통령이 발표한 바와 같이 2022년 4월 중순부터 5월 초까지 이어진 1차 공격 당시에는 정부 기관 27곳이 공격 대상이 돼, 코스타리카 보건복지 체계에는 내용을 식별할 수 없는 문서가 마구 생성되었다. 이에, 차베스 대통령은 랜섬웨어 배후 세력과의 전쟁을 선포했다.
코스타리카를 마비시킨 공격의 주요 배후 세력은 러시아와 관련된 악명 높은 랜섬웨어 조직인 콘티(Conti)이다. 콘티는 코스타리카 정부를 겨냥한 1차 공격이 자신들의 소행임을 주장했으며, 서비스형 랜섬웨어(ransomware-as-a-service) 운영사인 하이브(HIVE)가 보건복지 체계를 마비시킨 2차 공격 주범으로 알려졌다. 콘티가 2021년 한 해에 피해 기관에 탈취한 금액은 총 1억 8,000만 달러 이상이며, 그동안 보건복지 기관을 주요 공격 대상으로 삼았다. 그러나 2022년 2월, 콘티가 우크라이나 전쟁 당시 러시아를 지원하자 내부 메시지와 파일 수천 건이 온라인에 공개됐다.
콘티는 오랫동안 총 1,000회가 넘는 랜섬웨어 공격을 범했다는 범죄 기록이 있다. 특히, 최근 코스타리카를 겨냥한 공격이 특히 두드러진다. 콘티의 코스타리카 공격은 랜섬웨어 세력이 노골적으로 특정 국가의 정부를 겨냥한 첫 번째 사례로, 콘티는 공격 도중 코스타리카 정부 축출이라는 일반적인 구호를 외쳤다. 사이버 보안 기업 엠시소프트(Emsisoft) 위협 분석가인 브렛 칼로우(Brett Callow)는 “콘티의 코스타리카 공격은 지금까지 발생한 랜섬웨어 공격 중 규모가 가장 큰 사례라고 볼 수 있다. 연방 정부 전체가 이처럼 랜섬웨어 피해를 본 다른 사례를 떠올릴 수 없다. 말 그대로 최초의 사례이며, 유례없는 일이다”라고 말했다.
게다가 연구원은 콘티의 뻔뻔한 사이버 공격 행위가 단순히 공격의 심각성을 나타낸다고 주장했다. 그와 동시에 콘티는 조직 전체와 조직 구성원의 다른 랜섬웨어 공격 시도에 이목을 집중시켰다.
[사진=Pixabay]
국가 비상사태
코스타리카 정부를 겨냥한 첫 번째 랜섬웨어는 4월 10일께 발생했다. 전직 과학혁신기술 및 통신부 장관인 호르헤 모라(Jorge Mora)는 콘티가 일주일 내내 재무부 시스템을 철저히 조사했다고 밝혔다. 모라 전 장관은 랜섬웨어 대응을 도운 핵심 인물이다. 4월 18일 아침, 재무부 메일로 전송된 파일이 실제 피해가 발생한 디지털 세금 파일과 맞춤 제어용 IT 시스템이라는 두 가지 핵심 시스템에 전송되면서 암호화 기술이 적용됐다.
5월 7일(현지 시각), 정권 교체 직전 사임한 모라 전 장관은 “콘티의 랜섬웨어 공격은 코스타리카 상품의 수출 및 수입 서비스에도 심각한 타격을 주었다”라고 말했다. 코스타리카 사이버 보안 기업 화이트 재규어(White Jaguars) CEO이자 창립자인 마리오 로블레스(Mario Robles)는 재무부 서버 800여 곳의 수 테라바이트 상당의 데이터가 피해를 보았을 것으로 추산한다. 로블레스는 화이트 재규어가 그동안 랜섬웨어 공격에 훌륭하게 대응했으나 이번 공격 대응을 위해 협력할 기관을 지목할 수 없다고 말했다. (재무부는 와이어드의 랜섬웨어 피해 관련 문의에 답변하지 않았다.)
모라 전 총괄은 “민간 부문이 매우 심각한 수준의 손실을 기록했다. 현지 언론 보도에 따르면, 무역 사업은 컨테이너 선박 부족 사태를 겪었으며, 1일 손실액이 3,800만 달러였으나 48시간 만에 1억 2,500만 달러로 급증했다고 추산했다. 사이버 보안 기업 솔루시온스 세구라스(Soluciones Seguras) 산하 사이버 보안 기업의 코스타리카 국가 관리자인 조이 밀그램(Joey Milgram)은 “콘티의 랜섬웨어 탓에 코스타리카 무역 산업이 마비돼, 상업 부문에 심각한 피해가 발생했다”라고 말했다. 또, 그는 “10일 뒤에는 수동 형태의 수입 방법이 구축됐으나 지금은 일상의 대다수 업무를 수작업으로 처리해야 한다”라고 덧붙였다.
하지만 재무부 공격은 시작에 불과했다. 모라 전 장관이 공유한 시간 기록을 보았을 때, 콘티는 4월 18일부터 5월 2일까지 매일 다른 정부 부처를 공격하려 했다. 부에노스아이레스시청 등 지방 당국도 공격 대상이 되었으며, 노동사회안보부도 마찬가지로 공격 대상에 이름을 올렸다. 콘티의 공격은 간혹 심각한 피해를 일으키기도 했다. 반대로 공격이 실패로 끝나는 때도 있었다. 모라 전 장관은 미국과 스페인, 민간 기업 모두 방어용 소프트웨어와 콘티 관련 협력 지표를 제공하면서 콘티의 랜섬웨어에 대비하도록 도움을 주었다고 밝혔다. 이어서 다른 국가의 도움이 콘티의 공격을 막는 데 큰 도움이 됐다고 전했다. (2022년 5월 초, 미국은 콘티 지도자 정보 제공 시 보상금 1,000만 달러를 지급한다는 공고를 게재했다.)
5월 8일, 차베스 대통령은 4년 임기를 시작했으며, 랜섬웨어 때문에 즉시 국가 비상사태를 선언했다. 당시 차베스 대통령은 콘티를 ‘사이버 테러 조직’이라고 비판했다. 차베스 대통령은 5월 16일 자로 콘티의 공격 대상이 된 정부 기관 27곳 중 9곳이 매우 심각한 타격을 받았다고 발표했다. 랜섬웨어 공격 대응 관측 담당 부처인 과학혁신기술 및 통신부는 피해 복구 과정 관련 질문을 위해 처음에는 와이어드와의 인터뷰를 준비했으나 결국 와이어드의 질문에 답변하지 않았다.
로블레스는 “모든 국가 기관은 자원이 부족하다”라고 언급했다. 복구 도중 레거시 소프트웨어를 실행해, 결과적으로 그동안 제공하던 서비스 지원이 훨씬 더 어려워진 기관도 있다. 게다가 로블레스는 일부 기관에는 사이버 보안 전담 인력이 없다고 지적했다. 모라 전 장관은 이번 코스타리카 정부의 랜섬웨어 피해는 남미 대륙의 여러 국가의 사이버 보안 회복성 강화와 사이버 공격 보고 의무화 법률 도입, 공공 기관 보호 자원 추가 할당이 필요하다고 분석했다.
그러나 코스타리카가 콘티의 공격 대비를 시작하던 도중 또 다른 타격이 이어졌다. 5월 31일(현지 시각), 정부 기관을 겨냥한 2차 공격이 발생했다. 보건복지 기관인 코스타리카 사회안보기금(CCSS)의 전산이 마비돼, 코스타리카 정부는 갑작스레 혼란에 빠졌다. 이번에는 콘티와 어느 정도 관련이 있는 랜섬웨어 소프트웨어 공급 조직인 하이브의 소행으로 알려졌다.
2차 공격은 시민의 삶에 즉각 악영향을 미쳤다. 브라이언 크렙스(Brian Krebs) 보안 전문 기자가 보도한 바와 같이 보건 복지 체계 마비와 함께 프린터는 글자를 읽을 수 없는 문서를 마구 인쇄했다. 이후 환자의 치료 지연 항의가 빗발쳤으며, CCSS는 수술을 앞둔 아동의 부모에게 수술이 일정대로 진행되기 어렵다는 안내를 공식 발표했다. 또한, CCSS의 프린터는 문제가 있는 문서 양식을 마구 인쇄하기 시작했다.
6월 3일(현지 시각), CCSS는 ‘기관 비상사태’를 선포했다. 당시 현지 언론은 전체 서버 1,500개 중 759개와 컴퓨터 1만 400대에 피해가 발생했다고 보도했다. CCSS 대변인은 병원과 응급실이 현재 정상화되었으며, 의료진 유지 관리 노력을 펼치고 있다고 발표했다. 하지만 의료 진료를 원하는 이들의 의료 서비스 접근 과정에 걸림돌이 등장했다. 6월 6일 자로 진료 예약 3만 4,677건을 재예약해야 하는 문제가 발생한 탓이다. (CCSS의 전체 예약 중 7%에 해당한다. CCSS는 총 48만 4,215건이 예약 일정에 따라 진행되었다고 밝혔다.) 의료 이미지와 약학, 연구실 실험, 극장 운영에도 큰 차질이 발생했다.
콘티의 몰락
코스타리카를 겨냥한 두 차례의 별도의 랜섬웨어 공격 간 관계를 둘러싼 각종 의문 사항이 있다. 그러나 두 가지 공격 모두 랜섬웨어 조직의 변화 도중 발생했다. 지난 몇 주간 러시아와 관련된 랜섬웨어 조직 여러 곳이 미국 제재를 피하려 전략을 변경하면서 평소보다 사이버 범죄 영역의 더 큰 변화를 위한 전쟁을 이어가고 있다.
콘티는 자체 블로그를 통해 코스타리카 재무부를 대상으로 한 랜섬웨어를 예고했다. 콘티 자체 블로그에는 데이터값을 건네지 않으면, 피해 기관의 명칭과 탈취 파일을 모조리 공개한다는 위협성 글이 게재됐다. unc1756이라고 칭하는 해커 개인 혹은 사이버 공격 세력이 블로그를 이용해 코스타리카 랜섬웨어 공격을 개시했다고 주장했다. (UNC라는 약자는 일부 보안 기업이 ‘범주화되지 않은 범죄 조직을 칭할 때 사용한다.) unc1756은 데이터 비용으로 1,000만 달러를 요구했으나 이후 요구 비용을 2,000만 달러로 늘렸다. 그러나 피해 기관 중 단 한 곳도 데이터값을 건네지 않자 콘티 웹사이트에 672GB에 이르는 탈취 파일이 게재됐다.
그러나 콘티의 랜섬웨어는 평소보다 예측이 어려우면서 분산된 형태로 이루어졌다. 콘티의 공격은 정치적 성격이 더 강해졌다. 콘티의 블로그에는 “코스타리카 시민 모두에게 정부 기관을 찾거나 집회를 주도하도록 호소했다”라는 글이 게재됐다. 콘티 블로그의 또 다른 게시글에는 “사이버 공격으로 코스타리카 정부를 축출하고자 하는 분명한 의도가 있다는 점을 밝힌다”라는 내용이 포함됐으며, 해당 게시글은 코스타리카와 미국 테러 조직(바이든 행정부)을 언급했다.
사이버 보안 기업 체크포인트(Check Point)의 위협 정보 그룹 관리자 세르게이 쉬케비치(Sergey Shykevich)는 “사이버 범죄 조직이 적어도 공개적으로 특정 정부를 겨냥한 거짓 발언을 한 사례를 본 적이 없다”라고 말했다. 쉬케비치는 콘티가 코스타리카를 공격할 때, 페루 재무부와 정보국도 동시에 표적으로 삼은 사실에 주목했다. 쉬케비치는 콘티의 행동은 러시아어 해킹 포럼에서 비판의 대상이 되었다고 전했다. 사이버 범죄 조직이 정치에 더 깊이 주목했기 때문이다.
일각에서는 콘티의 코스타리카 공격이 주의를 분산시키려는 의도로 설계됐다고 주장한다. 5월 19일(현지 시각), 미국 사이버 보안 기업 애드브인텔(AdvIntel)은 콘티 운영이 끝이 났다고 주장하며, 콘티가 5월 초부터 조직을 해체하기 시작했다고 설명했다. 그러나 전체적인 조직 구조는 사라지지 않았다. 애드브인텔은 콘티 조직 내부의 가시성을 언급하며, 콘티 뉴스 웹사이트 관리 조직 폐쇄 소식을 전했다. 애드브인텔은 브리핑을 통해 “콘티의 협상 서비스 사이트도 폐쇄됐다. 그와 동시에 대화방부터 메신저까지 나머지 인프라와 서버부터 프록시 호스트까지 대대적으로 초기화 과정을 거쳤다”라고 발표했다.
콘티가 우크라이나 전쟁에서 블라디미르 푸틴 지지 의사를 공개적으로 밝히고, 러시아를 공격하는 누구나 해킹 대상이 될 것이라고 위협했으나 실제로 범죄 자금을 좀처럼 모으지는 못했다. 칼로우는 “이제는 미국 피해 기관으로부터 데이터값을 탈취하기 어려워졌다. 일부 랜섬웨어 피해 협상 기업이 더는 랜섬웨어 조직이 요구하는 데이터값을 건네지 않는다. 미국 재무부 산하 해외자산통제국(OFAC)의 제재 위반을 우려하기 때문이다. 또, 일부 기업은 랜섬웨어 조직과의 협상을 다룰 필요가 없다. 테러주의 후원 조직이라는 의혹을 원하지 않기 때문이다”라고 설명했다. 애드브인텔은 더 나아가 콘티가 랜섬웨어 공격 탈취 자금 지원 및 확보 능력이 충분하지 않아, 콘티 해체라는 결과를 촉발했다고 주장했다.
애드브인텔 CEO 비탈리 크레메즈(Vitali Kremez)는 몇 주 후, 콘티의 서비스가 여전히 폐쇄된 상태라고 전했다. 적어도 애드브인텔이 보기에는 코스타리카 공격이 콘티의 정체를 드러내는 한편 자체적으로 변신을 유지하면서 다른 유형의 랜섬웨어 공격을 개시하기 시작했다. 그러나 콘티가 가장 최근, 코스타리카를 상대로 개시한 무차별적인 대중적 행동은 잔재를 남길 수도 있다. 사이버 범죄 조직이 정부 기관을 상대로 주기적인 공격을 개시하지는 않지만, 랜섬웨어 조직의 새로운 공격 유형 선례를 남길 수 있다. 쉬케비치는 “콘티가 새로운 랜섬웨어 시대를 향해 크게 한 걸음 내디뎠다. 콘티는 사이버 범죄 조직이 국가 단위로 금전 갈취를 시도할 수 있다는 사실을 몸소 입증하여 보여주었다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202206/4001_5316_3210.jpg)
뉴스레터 신청