지난 몇 년간 러시아 랜섬웨어 조직은 여러 기업과 병원 기관, 공공 기관에 심각한 피해를 줄 공격을 개시하면서 피해 기관에 수백만 달러 규모의 자금을 탈취함과 동시에 예상치 못한 피해를 주었다. 그동안 심각한 피해를 일으키면서도 어떠한 처벌을 받지도 않았으나 이제는 다르다. 2월 9일(현지 시각), 영국 정부와 미국 정부가 랜섬웨어 조직 활동 중단 노력 중 하나로 일부 사이버 범죄 조직 구성원의 신원을 공개했다.
정부 관례는 악명 높은 랜섬웨어 조직 구성원으로 의심되는 인물 7명을 제재하면서 실명과 생년월일, 이메일 주소, 얼굴 사진을 공개하는 이례적인 조처를 했다. 신원이 공개된 사이버 범죄 세력 7명은 종종 위자드 스파이더(Wizard Spider)라는 조직을 함께 구성한 것과 관련된 랜섬웨어 조직인 콘티(Conti)와 트릭봇(Trickbot) 구성원으로 알려졌다. 게다가 영국과 미국 모두 콘티와 트릭봇, 러시아 정보기관 간의 관련성을 명백하게 지적한다.
제임스 클레버리(James Cleverly) 영국 외무부 장관은 “사이버 범죄 세력 제재로 사이버 범죄자와 랜섬웨어 공격에 가담한 모든 이들에게 책임을 져야 한다는 사실을 분명하게 알리고자 한다. 그동안 처벌을 피하면서 무작정 펼친 사이버 공격은 많은 이들의 생명과 생계에 실제로 피해를 주었다”라고 말했다.
영국과 미국이 신원을 공개한 이들의 이름은 비탈리 코바레프(Vitaly Kovalev), 막심 미카일로프(Maksim Mikhailov), 발렌틴 카르야긴(Valentin Karyagin), 미카일 이스리츠키(Mikhail Iskritskiy), 드미트리 프레셰프스키(Dmitry Pleshevskiy), 이반 바크로메예프(Ivan Vakhromeyev), 발레리 세드레츠키(Valery Sedletski)이다. 7명 모두 바겟(Baget), 트로파(Tropa) 등 실명을 사용하지 않고 서로 소통하기 위한 온라인 활동명을 보유했다.
2월 9일, 영국 사이버보안센터(NCSC)는 콘티 조직원이 러시아 정보국과 관련되었을 확률이 매우 높으며, 러시아 정보국은 일부 랜섬웨어 조직의 활동을 지시했을 확률이 높다고 발표했다. NCSC는 영국 정보통신본부(GCHQ) 산하 기관이며, 영국 정부가 랜섬웨어 세력을 대상으로 제재를 시행한 것은 이번이 처음이다.
이와 마찬가지로 미국 재무부도 트릭봇 조직원이 러시아 정보국과 관련되었다는 결론을 내렸다. 또, 2020년 발생한 트릭봇의 사이버 범죄가 러시아의 국익과 관련이 있으며, 과거 러시아 정보국이 개시한 작전을 제재 대상으로 삼을 것이라고 발표했다.
[사진=Freepik]
미국 재무부는 트릭봇 조직원 중 일부가 멀웨어와 랜섬웨어 개발과 자금 세탁, 사기, 로그인 상세 정보 탈취 목적의 웹사이트 내 악성코드 주입, 조직 관리 등과 같은 역할을 했다고 설명했다. 영국은 제재의 일환으로 랜섬웨어 세력의 자산을 동결하면서 여행 금지 조치를 시행했다. 미국 뉴저지주 지방법원은 2009년과 2010년, 미국 은행 기관을 대상으로 은행 사기와 은행 계좌 사기 8건을 저지를 음모를 펼친 혐의를 적용해, 비탈리 코바레프를 기소했다.
영국과 미국 정부는 날이 갈수록 심각해지는 랜섬웨어 조직의 위협을 다루는 데 난항을 겪었다. 그 주된 이유는 사이버 범죄 조직 다수가 러시아에서 공격을 개시하기 때문이다. 러시아 정부는 사이버 범죄 세력이 러시아 기업을 대상으로 공격을 개시하지 않았을 때 처벌을 피할 은신처를 제공했다. 2022년, 미국과 영국 기업 및 기관을 대상으로 유독 심각한 피해를 일으킨 강력한 사이버 공격 여러 건을 개시하자 러시아 법률 집행 기관은 악명 높은 랜섬웨어 조직 레빌(REvil)의 조직원 12명 이상 체포했다. 그러나 그 후에도 러시아는 랜섬웨어를 포함한 각종 사이버 공격 활동의 시작점이 되었다.
보안 기업 홀드 시큐리티(Hold Security) 창립자 알렉스 홀든(Alex Holden)은 10여 년간 콘티와 트릭봇을 추적하고는 조직원 정보와 사이버 범죄 활동 위치를 파악했다. 홀든은 랜섬웨어 조직원의 신원 공개 시 랜섬웨어 조직의 활동이 달라질 수 있다고 말했다. 그는 “랜섬웨어 조직원은 실명이 공개될 것을 두려워할 것이다. 서양 정부의 법률 체계로 법률 집행을 할 수 없더라도 계속 도주하면서 은신할 수밖에 없기 때문이다”라고 설명했다.
콘티와 트릭봇 조직원 신원 공개에 앞선 2022년 초, 여러 사이버 범죄 조직의 정보가 두 차례 대거 유출됐다. 2022년 2월, 블라디미르 푸틴이 우크라이나 침략으로 전면전을 시작하자 콘티 조직원이 러시아 지지를 공식 선언했다. 콘티에 잠입한 일부 우크라이나 사이버 보안 연구원이 콘티 내부 채팅 메시지 6만 건 이상 유출하면서 콘티 조직원과 해킹 활동 상세 정보를 공개했다. 그리고 몇 주 뒤 트릭봇 조직원의 신원과 활동 상세 정보가 유출됐다. 우크라이나에서 공개한 상세 정보가 법률 집행 기관이 콘티와 트릭봇 조직원의 신원 정보를 추적하는 데 도움이 되었을 확률이 높다.
사이버 보안 업계에서는 오랫동안 러시아 내 사이버 범죄 조직이 확실하게 구성된 것은 아니지만, 러시아 정부와 중요한 관련성이 있다는 결론을 내렸다. 또한, 확실한 정보는 거의 없지만, 러시아 정부 관료가 종종 사이버 범죄 활동에 모호한 태도를 보였다고 판단했다.
구글이 소유한 보안 기업 맨디언트(Mandiant) 사이버 범죄 분석 수석 관리자인 킴벌리 구디(Kimberly Goody)는 2022년 초 유출된 콘티와 트릭봇의 상세 정보가 미국, 영국 정부가 러시아 정보국과 연결 지은 일부 정보와 일치하다고 전했다.
콘티 조직원의 내부 대화 유출 내용은 콘티 조직원과 러시아와 일부분 관련성을 지녔을 가능성을 폭로하는 역할을 하기도 했다. 대화 내용에는 해킹 작전을 위해 ‘정부 주제’로 활동한 사실과 러시아 정부가 지원하는 것으로 널리 알려진 해커 조직인 코지베어(Cozy Bear)를 알고 있는 것처럼 설명하는 내용이 담겨있다. 콘티 조직원은 오픈소스 조사 언론 기관인 벨링캣(Bellingcat)과 관련된 해킹 공격 개시 가능성을 논의하기도 했다.
구디는 “사이버 범죄 조직이 법률 집행 기관의 감시망을 피했다는 점은 분명한 사실이다. 러시아도 사이버 범죄 발생 사실을 알고 있으며, 러시아는 오랫동안 국익과 부합할 때 사이버 범죄 세력에 가담해왔다. 드리덱스(Dridex) 제재 당시 드러난 바이기도 하다”라고 설명했다. 이어, 유출된 대화 내용을 통해 최근 미국과 영국의 제재로 신원이 공개되지 않은 트릭봇의 어느 한 조직원이 트릭봇 외부 인물의 지시를 받았을 가능성을 추측할 수 있다고 덧붙여 전했다.
2022년 여름, 구글 위협 분석 그룹(Threat Analysis Group)과 IBM의 X-Force는 콘티와 트릭봇이 주요 공격 대상을 우크라이나로 변경하면서 러시아의 이익과 일치한 것이 분명한 행동을 했다고 발표했다. IBM 보안 연구팀은 과거, 두 조직이 우크라이나를 공격 대상으로 삼은 적이 없다는 점에 주목하면서 ‘이례적인 공격 대상 변경’이라고 전했다.
각국 정부는 지난 10년간 러시아와 중국 등 여러 국가의 국가 주도 해킹 공격을 비판하며, 종종 정부 산하 해커 세력 개인의 신원 정보를 공개하기도 했다. 하지만 사이버 보안 연구 업계는 사이버 범죄자 개인 신원 공개에 초점을 맞춘다면, 사이버 범죄 세력의 중대한 변화를 나타낸다고 말했다. 맨디언트 수석 위협 정보 고문 제이미 콜리어(Jamie Collier)는 “갈수록 랜섬웨어 세력을 이용한 제재와 함께 국가 안보 안건에서 사이버 범죄가 우선순위로 등장하는 사례가 증가하는 추세가 반영된 것을 관측할 수 있다”라고 말했다.
그러나 랜섬웨어 세력 개인 신원 공개의 장기적 영향은 아직 분명하지 않다. 일례로, 콘티는 2022년 6월, 코스타리카 정부를 해킹한 뒤 해체됐다. 그러나 콘티 조직원 개인은 퀀텀(Quantum), 로얄(Royal), 블랙 바스타(Black Basta) 등 다른 랜섬웨어 조직에 합류하여 사이버 범죄 활동을 계속 개시하는 것으로 추정된다. 그러나 사이버 범죄 이후 심각한 전산 장애와 재정 피해를 겪은 피해 기관을 위해 전 세계 정부의 더 강력한 제재가 곧 시행될 것으로 보이지는 않는다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202302/4560_6009_921.jpg)
뉴스레터 신청