2020년, 콘티 랜섬웨어 세력이 급부상한 뒤 전 세계에 대대적인 위협을 가했다. 콘티는 세계 각지의 병원 기관 시스템 마비를 일으키면서 각국 정부 기관을 공격하고, 무수히 많은 기업을 대상으로 금전 갈취까지 했다. 콘티는 총 1,000곳이 넘는 기관을 공격 대상으로 삼고, 2021년에만 1억 8,000만 달러가 넘는 금액을 갈취했다. 이제 미국은 콘티 퇴치 전략을 강화해, 사상 최초로 콘티 조직원의 신원을 밝히고 러시아 정부와의 관계를 밝히고자 한다.
8월 11일(현지 시각), 국가 안보 문제와 관련된 보상을 다루는 미국 국무부 산하 기관인 ‘정의에 대한 보수(Rewards for Justice)’가 콘티 조직원 개인의 유용한 정보를 제공하는 이에게 최대 1,000만 달러를 지급한다고 공식 발표했다. 특히, 프로페서(Professor), 리셰이브(Reshaev), 트램프(Tramp), 댄디스(Dandis), 타켓(Target) 등이라는 이름으로 활동하는 콘티 핵심 조직원 5명의 상세 정보 공유를 촉구했다.
정의에 대한 보수는 타겟으로 추정되는 인물의 사진도 공개했다. 타겟이라는 인물의 사진에는 귀덮개가 달린 모자와 검은색 티셔츠, 어두운 색상의 자켓을 착용한 중년 남성의 모습이 담겨있다. 콘티 조직원의 실제 정체로 추정되는 사진이 사상 최초로 공개된 순간이다.
이름 공개를 거부하면서 사진 이외에 타겟의 신원 정보를 추가로 제공하지 않은 국무부 어느 한 관계자는 “8월 11일 자로 미국 정부가 최초로 콘티를 운영하는 세력의 정체를 공개했다. 이번에 공개한 사진은 미국 정부가 콘티의 활동과 관련이 있다고 확인한 사이버 공격 세력이다”라며, 개인의 이름부터 실제 거주지, 휴가 및 이동 계획까지 추가 정보를 찾아내고자 한다고 덧붙여 전했다. (아마도 사이버 범죄 세력은 러시아에 거주하며, 체포 우려 때문에 타국으로 이동하지는 않을 것이다.)
국무부의 행보는 콘티가 랜섬웨어 세계에서 독보적으로 위험한 역할을 한다는 사실을 강조한다. 트릭봇(Trickbot) 사이버 범죄 조직의 일부인 이른바 위자드 스파이더(Wizard Spider)로 알려진 콘티는 일반 중소기업과 같은 형태로 형성된 후 운영되었다. 우크라이나 사이버보안 연구팀은 콘티가 블라디미르 푸틴의 우크라이나 침략을 지원한 뒤 총 6만 개의 내부 메시지를 공개하며, 콘티 조직 내부 비밀을 유출했다.
콘티와 트릭봇 모두 구성원이 총 100명 이상이며, 대부분 개인 부서 내부에서 활동하는 것으로 추정된다. 유출된 콘티 조직도를 보았을 때, 사이버 공격 작전 개시 시간이 아닐 때는 휴가를 요청하며, 주기적으로 월급을 받는 데다가 피해자의 금전을 갈취할 정도로 전문적인 사이버 보안 지식을 갖춘 것으로 예측할 수 있다. 또한, 콘티의 유출된 메시지를 통해 콘티가 암호화폐 결제 플랫폼 개발을 시도한 사실도 드러났다. 2022년 초반, 콘티가 코스타리카 정보를 공격해, 현지 진료 예약 3만여 건을 취소하는 등의 문제를 요구했을 때도 별도로 현상금 1,000만 달러를 지급한다는 공고가 게재됐다.
[사진=Unsplash]
정의를 위한 보상은 미국 전역에서 진행하는 다른 보상 프로그램과는 별도로 진행하며, 외국 선거 개입과 북한 해커 조직 등 국가 안보 문제에 초점을 맞춘다. 국무부 관료는 “콘티를 국가 안보 위협 세력으로 보는 이유는 앞으로 더 많은 정보를 찾아내거나 찾으려 하면서 콘티와 외국 정부의 관련성이 드러날 것을 확신하기 때문이다. 콘티는 미국의 주요 기반시설을 겨냥한 악의적인 사이버 공격 활동에 가담했다. 이를 국가 안보 위협으로 본다”라고 전했다.
콘티 조직원 다수는 러시아나 그 주변 국가에 거주하는 것으로 추정된다. 러시아 정부는 지난 몇 년간 러시아 사이버 범죄 조직의 활동을 외면했으며, 그와 동시에 러시아가 일부 랜섬웨어 조직의 본거지가 되었다. 콘티 파일 유출 내용애는 러시아 정부 기관, 안보국 등과 관련이 있는 것으로 드러난 고위급 구성원 일부가 드러났다. 콘티 조직원은 정치적 주제를 다루는 방법을 논의하며 APT29라고도 알려진 또 다른 해커 조직인 코지베어(Cozy Bear) 구성원과도 아는 사이임이 드러났다.
사이버 국가 임무국(Cyber National Mission Force) 대변인 카트리나 치즈맨(Katrina Cheesman) 미 공군 사령관은 “콘티는 해외 정부와의 관계, 러시아 정부 지원 사실을 공개적으로 인정했다. 콘티와 다른 조직 간의 관계를 바탕으로 위자드 스파이더라는 조직화된 범죄 조직 지도층도 러시아 내부 정부 기관과 관련이 되었을 확률이 높다고 볼 수 있다”라고 말했다.
2022년 3월, 콘티 내부 파일 유출 후 여러 사이버 보안 기업이 콘티의 문건 조사에 착수했다. 다수 사이버 보안 전문가는 보상 프로그램의 정보 공유 현상금과 관련이 있으면서 트릭봇의 활동에 개입한 프로페서라는 인물이 상당수 랜섬웨어 공격 작전을 감시하며, 콘티의 중요한 역할을 한다고 분석했다. 간혹 콘티 조직원이 사용하는 가명이 실제로 같은 인물을 칭하는 것으로 나타났다.
콘티 조직 유출 파일 이외에도 더 광범위한 영역의 사이버 범죄 조직 구성원과 관련된 유출 정보를 추가로 찾아볼 수 있다. 2022년, 트릭릭스(Trickleaks)라는 트위터 계정은 트릭봇 구성원으로 추정되는 인물의 이름과 개인 상세 정보를 공개했다. 독자적으로 검증한 것은 아니지만, 적어도 일부분은 정확한 것으로 알려진 트릭릭스의 개인적인 해커 조직 신원 공개 게시글은 트릭봇 구성원으로 의심되는 이들의 사진과 SNS 계정, 여권 정보 등을 공개했다.
사이버 보안 기업 맨디언트(Mandiant) 재무 범죄 분석 수석 책임자인 제레미 커넬리(Jeremy Kennelly)는 콘티와 트릭봇이 계속 활동하는 것에 맞서는 일이 랜섬웨어 조직의 범죄 자금 확보와 기업 공격을 막는 데 매우 중요하다고 주장한다. 이어서 “핵심 조직원의 익명성을 없애면서 보상금 지급, 불법 자금 압수, 의도 공개 선언 등이 랜섬웨어 조직 원영 참여 시 발생하는 실제 위험성을 인식하고 사이버 범죄 세력과 조직 간 활동이 약해지는 효과로 이어질 것이다”라고 설명했다.
정의에 대한 보수 관계자는 다국어로 콘티 조직원 신원 정보 제공 요청 글을 게재하며, 토르(Tor) 링크를 통해 연락하도록 촉구했다고 전했다. 정보 제공자가 전달하는 내용은 모두 검증 과정을 거칠 것이며, 보상금 지급 전 여러 단계를 통과해야 할 것이다. 이론적으로 1,000만 달러 상당의 보상금을 지급할 수 있을 것이다. 해당 관료는 특히, 러시아 온라인 공간을 콘티 조직원 정보 입수를 위한 주요 경로로 삼았으며, 상세한 보상 정보는 러시아 소셜 네트워크인 VK와 해킹 포럼에 게재할 예정이라고 밝혔다.
지난 몇 주간 콘티의 활동이 잠잠해졌으며, 내부 대화 유출 후 다른 조직으로 이름을 변경한 채로 사이버 범죄 행위를 다시 개시하려 준비하는 것으로 추정된다. 그러나 다수 구성원이 지금도 활동을 이어가면서 다른 사이버 범죄 시도에 개입한 것으로 보인다. 사이버 범죄 세력은 기업과 광범위한 사회 영역에 심각한 파장을 일으킬 것이다.
사이버 보안 기업 레코디드 퓨처(Recorded Future) 애널리스트이자 랜섬웨어 전문가인 알란 리스카(Allan Liska)는 “국가 지원 조직이 아니라면, 국가 산하 조직처럼 심각한 피해를 줄 활동을 일상적으로 개시하면서 국가 산하 조직과 같은 대우를 받는다. 콘티 조직원 중 러시아를 떠날 정도로 어리석은 이가 없다면, 콘티 조직원을 실제로 체포하지는 못할 것이다. 정보국의 보상 프로그램을 이용한 콘티 조직원 개인 정보 수집은 가치가 없는 일이 될 것이다”라는 견해를 전했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202208/4144_5487_3227.jpg)
뉴스레터 신청