본문 바로가기 주메뉴 바로가기 검색 바로가기
러시아의 랜섬웨어 범죄 조직 영향력 행사, 집중 관찰 대상 된다
상태바
러시아의 랜섬웨어 범죄 조직 영향력 행사, 집중 관찰 대상 된다
러시아 정부와 랜섬웨어 조직 간 관계를 둘러싼 의문점이 아직도 남아있다. 그러나 드디어 사이버 보안 전문 연구원이 답을 찾을 것으로 보인다.
By LILY HAY NEWMAN, WIRED US

러시아에 본거지를 둔 랜섬웨어 조직은 공격 확산 범위가 가장 넓고, 공격적인 작전을 펼친다. 그 부분적인 이유는 러시아 정부가 랜섬웨어 조직으로 확장하는 확실한 안식처 때문이다. 러시아 정부는 국제 사회의 랜섬웨어 조사에 협조하지 않는다. 또, 일반적으로 러시아인이나 러시아 기관을 겨냥한 공격을 개시하지 않는다면, 러시아에서 랜섬웨어 조직을 기소하지 않는다. 그러나 오랫동안 금전이 사이버 공격 개시 동기가 된 해커 세력이 러시아 정부의 지시에 따라 작전을 펼치는지, 그리고 사이버 범죄 조직이 러시아 정부의 심각한 피해를 일으키는 해킹과 어느 정도 관련성이 있는지는 분명하게 알려지지 않았다. 이제 그 답을 더 확실하게 찾을 수 있을 것으로 보인다.

버지니아 알링턴에서 개최된 사이버워콘(Cyberwarcon) 보안 컨퍼런스에서 국가 선거 일정에 따라 미국과 캐나다, 영국, 독일, 이탈리아, 프랑스 기관을 겨냥한 랜섬웨어 공격 빈도와 공격 대상 지정 빈도를 조사한 새로운 연구가 발표됐다. 조사 결과, 확실한 것은 아니지만, 러시아 정부의 우선순위와 활동, 미국과 캐나다, 영국, 독일, 이탈리아, 프랑스 6개국 기관을 겨냥한 랜섬웨어 공격이 일정한 관계가 있다는 사실이 확연히 드러났다.

해당 연구는 2019년 5월부터 2022년 5월까지 102개국 피해자를 대상으로 겨냥한 랜섬웨어 공격 4,000여 건을 다룬 데이터세트를 분석했다. 스탠퍼드 인터넷 감시(Stanford Internet Observatory)와 국제 안보 협력 센터(Center for International Security and Cooperation) 소속 연구원인 카렌 너쉬(Karen Nershi)가 이끈 해당 연구는 분석 결과를 통해 선거 일정에 앞서 러시아 기반 조직의 미국과 캐나다, 영국, 독일, 이탈리아, 프랑스를 겨냥한 공격이 급격히 증가했다는 통계 자료를 제시했다. 모두 데이터세트 상 1년간 가장 많은 랜섬웨어 공격을 받은 것으로 나타났다. 또, 랜섬웨어 공격은 전체 사이버 공격 유형 중 약 3/4으로 확인됐다.

너쉬 연구원은 컨퍼런스 발표 전 와이어드와의 인터뷰에서 “데이터를 이용해 러시아에 본거지를 둔 것으로 추측한 조직의 공격 시간과 세계 각지의 랜섬웨어 조직의 공격 시점을 비교했다. 우리 연구팀의 모델은 언제든지 주어진 날의 공격 횟수를 살펴보았다. 그리고 러시아 랜섬웨어 조직의 공격과 선거 4개월 전의 공격 횟수 증가 간의 관계를 확인한 뒤 선거 3개월, 2개월, 1개월 전의 공격 횟수 증가 현황도 확인했다”라고 말했다.
 
[사진=Pixabay]
[사진=Pixabay]

연구팀의 데이터세트는 랜섬웨어 조직이 피해자의 정보를 세부적인 사항까지 모두 공개해, 데이터값을 건네도록 압박을 가하는 데 이용하는 다크 웹 사이트에서 선별하였다. 너쉬 연구원은 동료 연구원이자 스탠퍼드 인터넷 관측소(Stanford Internet Observatory) 소속 학자인 셸비 그로스만(Shelby Grossman)은 사이버 범죄 조직 사이에서 인기가 높은 이중 갈취 공격을 집중적으로 살펴보았다. 이중 갈취 공격을 개시하는 해커 세력은 피해자 네트워크에 침입하고는 데이터를 탈취한 뒤 시스템 암호화를 위해 랜섬웨어 공격을 개시한다. 그다음에는 피해자에게 암호화 해제 비용과 탈취 데이터를 판매하지 않고 비공개 상태로 유지하는 데 필요한 비용을 요구한다. 연구팀은 모든 이중 갈취 공격 세력의 데이터를 포착하지 못해, 실제로 해커 세력이 피해자 데이터를 외부로 유출하지 않았을 수도 있다. 다만, 너쉬 연구원은 철저한 과정을 거쳐 데이터를 수집했으며, 일반적으로 랜섬웨어 조직은 공격 후 탈취한 데이터를 외부에 공개하는 데 관심이 있다고 전했다.

이번 연구 결과는 러시아 외 다른 국가의 랜섬웨어 조직의 공격이 미국, 캐나다, 영국, 독일, 이탈리아, 프랑스 선거 일정에 따라 급격히 증가하지 않았다는 통계 결과를 제시한다. 반면, 국가 선거 일정까지 2개월이 남은 시점과 같이 특정 기간에는 미국과 캐나다, 영국, 독일, 이탈리아, 프랑스 모두 러시아 랜섬웨어 조직의 랜섬웨어 공격 표적이 될 확률이 평소보다 41% 더 높은 것으로 나타났다.

그러나 전 세계 랜섬웨어 조직의 공격이 모든 부문에서 두드러지게 증가한 것은 아니다. 러시아 랜섬웨어 조직의 정부 조직과 기반 시설을 겨냥한 공격은 국가 선거 2개월 전부터 약간 증가한다. 그러나 너쉬 연구원은 데이터세트 상 정부 기관을 겨냥한 전체 사이버 공격 횟수가 처음부터 적었다고 설명했다. 연구팀의 연구는 선거 일정에 따라 통신, 금융, 에너지, 공공재 기관을 겨냥한 공격이 급격히 증가하지 않았다는 결과를 제시했다. 그러나 전반적으로 모든 유형의 기관을 겨냥한 공격이 급격히 증가했다. 이에, 연구팀은 미국, 캐나다, 영국, 독일, 이탈리아, 프랑스 중 한 곳의 선거 일정에 따라 러시아 정부의 전반적인 사이버 활동이 증가하는 파급효과가 있을 것으로 가정했다.

너쉬 연구원은 “러시아 랜섬웨어 조직과 러시아 정부가 어느 정도 관련이 있다는 이론을 제시했다. 랜섬웨어 조직은 범죄 조직이며, 랜섬웨어 공격으로 금전적 이익을 얻는다. 그러나 때때로 러시아 정부가 랜섬웨어 조직에 도움을 청할 때는 정부의 사이버 활동 개시 필요에 따라 작전을 펼치는 데 동의한다”라고 설명했다.

연구팀의 연구는 2022년 초, 악명 높은 러시아 랜섬웨어 조직 콘티(Conti)의 공격 개시 방법을 보여주는 긴 대화 기록의 상세 데이터를 포함하여 최근 공개된 다른 분석과 정보와 일치하는 결과를 제시했다. 해당 데이터는 콘티 구성원이 러시아 연방보안국(FSB) 내부에서 관계를 형성하고 러시아 군대 해킹 작전 정보를 파악했을 확률이 높다는 점을 시사하며, 느슨하면서 사전 계획 없이 즉시 협력했을 가능성을 제시한다.

너쉬 연구원은 “러시아 랜섬웨어 조직은 일반적으로 공격 개시 후 기소를 면한다. 러시아 정부는 사이버 범죄 세력과 정부 간의 관련성을 부인할 만한 타당한 이유를 주장할 만한 방식으로 자국 랜섬웨어 조직이 특정 작전을 위한 외부 해커 세력을 동원한다. 이번 연구 결과로 파악한 바에 따르면, 러시아 정부와 랜섬웨어 조직은 기이하면서 말로는 분명하게 설명하기 어려운 모호한 관계를 형성했다”라고 설명했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Russia’s Sway Over Criminal Ransomware Gangs Is Coming Into Focus
이 기사를 공유합니다
RECOMMENDED