1년 전에는 사이버 보안 업계가 오랫동안 운영한 랜섬웨어 조직 무력화 전쟁에서 한 줄기 희망이 보이는 듯했다. 2022년, 랜섬웨어 피해 기업 중 해커 세력이 요구하는 데이터 값을 건네는 기업은 거의 없었다. 결국, 사이버 범죄 조직이 무차별적인 공격으로 얻는 소득은 감소했다. 보안 조처 개선과 법률 집행 기관의 랜섬웨어 퇴치 집중, 랜섬웨어 조직을 대상으로 한 국제 사회 제재, 암호화폐 업계 감시 등이 결합하여 실제로 랜섬웨어 조직 퇴치 효과를 본 것일 수도 있다.
실제로는 그렇지 않다. 일시적으로 잠잠해진 랜섬웨어 조직의 범죄 수익은 역대 최고 수준의 범죄 수익을 기록하기 전 잠시 주춤한 뒤 가장 심각한 피해를 일으킨 사이버 범죄 유형이 된 것으로 나타났다. 사실, 2023년은 최악의 랜섬웨어 피해 금액을 기록한 해이다.
2024년 2월 7일(현지 시각), 암호화폐 추적 기업 체이널리시스(Chainalysis)는 연간 범죄 보고서를 발행하며, 블록체인에서의 암호화폐 이체 동향을 추적한 결과를 바탕으로 2023년 랜섬웨어 조직이 피해자에게 갈취한 데이터 값이 11억 달러를 기록했다는 조사 결과를 발표했다. 체이널리시스가 추적한 랜섬웨어 조직의 범죄 수익 중 역대 최고치이자 2022년보다 약 2배 증가한 결과이다. 체이널리시스는 비교적 적은 랜섬웨어 조직의 2022년도 범죄 수익이 5억 6,700만 달러를 기록한 결과는 이례적인 결과라고 설명했다. 2020년 이후 수억 달러 수준으로 랜섬웨어 범죄로 갈취한 데이터 값이 꾸준히 감소했기 때문이다.
체이널리시스 위협 정보 사장 재키 번스 코벤(Jackie Burns Koven)은 “한동안 랜섬웨어 조직의 범죄 수익 증가 추세가 멈추었으나 실제로 2020년과 2021년 코로나19 확산 시기에 랜섬웨어 범죄 피해 금액이 크게 증가한 것으로 나타났다. 2022년, 랜섬웨어 범죄 피해 금액 상승세가 둔화된 것을 보고 강력한 랜섬웨어 퇴치 노력을 펼친 것처럼 느낄 수 있다”라고 말했다.
[사진=Freepik]
랜섬웨어 조직의 갈취 금액이 10억 달러를 넘어선 부분적인 원인으로 2023년 내내 발생한 랜섬웨어 범죄 건수를 언급할 수 있다. 사이버 보안 기업 레코드 퓨처(Recorded Future)는 여러 뉴스 보도와 탈취 데이터 공개 위협을 가하는 동시에 피해자에게 압박을 가하는 전략인 랜섬웨어 조직의 다크웹을 통한 피해자 목록 나열 기록을 바탕으로 2023년 랜섬웨어 범죄 건수가 총 4,399건이라고 집계했다. 반면, 2022년과 2021년 랜섬웨어 범죄 건수는 각각 2,581건, 2,866건으로 집계됐다.
2023년 랜섬웨어 범죄 급증 추세는 비교적 더 긍정적인 추세의 효과를 상쇄한다. 일부 집계 결과 기준, 랜섬웨어 조직이 요구하는 데이터 값을 건네는 피해자는 감소했다. 피해자 대신 랜섬웨어 조직과의 데이터 값 협상에 주력하는 사건 대응 전문 기업 코브웨어(Coveware)의 데이터 분석 결과, 2023년 4분기 기준 랜섬웨어 조직의 요구대로 데이터 값을 건네는 기업은 전체 피해 기업 중 29%였다. 2019년과 2020년, 랜섬웨어 피해 기업 중 데이터 값을 건넨 기업이 70~80%를 기록한 것보다 현저히 감소한 것을 확인할 수 있다.
랜섬웨어 조직이 요구하는 데이터 값을 건넨 기업은 감소했으나 랜섬웨어 조직의 전체 범죄 수익 자체는 대폭 증가했다. 더 큰돈을 갈취할 산업으로 빠져들면서 교묘한 사이버 공격을 개시하는 조직이 증가한 결과이다. 레코디드 퓨처 위협 정보 애널리스트 알란 리스카(Allan Liska)는 랜섬웨어의 개방 수준이 높은 특성이 랜섬웨어 범죄 광고 역할을 하면서 물속에서 피 냄새를 맡는 상어처럼 해커 세력이 꾸준히 큰돈을 갈취할 기회를 포착한다고 설명했다. 리스카는 “누구나 랜섬웨어 공격 발생 사례를 접한다. 랜섬웨어 조직은 범죄 수익을 기록하는 곳으로 몰려든다”라고 말했다.
체이널리시스는 2023년도 랜섬웨어 범죄 수익이 11억 달러를 기록한 데는 해커 세력이 피해자에게 요구하는 금액이 더 증가한 결과이기도 하다는 점에 주목했다. 대부분 심각한 피해를 일으킬 공격을 용납할 수 없으면서도 데이터 값을 요구하는 대로 건넬 능력이 있는 피해자를 신중하게 선정한다. 번스 코벤은 이를 ‘큰 기회 추구’라고 칭했다. 결과적으로 2023년, 피해자가 건넨 데이터 값 중 75%는 최대 100만 달러를 기록한 것으로 나타났다. 2021년, 랜섬웨어 피해자 중 100만 달러가 넘는 금액을 데이터 값으로 건넨 피해자 비율은 60%로 추산됐다.
랜섬웨어 조직의 범죄 수익이 심각한 수준으로 증가한 사실을 고려하면, 2022년도 랜섬웨어 범죄 수익 하락 추세는 보기 드문 일시적 변화이다. 체이널리시스와 복수 보안 기업은 우크라이나 전쟁이 발발한 2022년, 우크라이나 랜섬웨어 조직 활동 무력화와 러시아 랜섬웨어 조직의 관심이 정치적 해킹 작전 개시로 분산된 상황, 충성도 상충에 따른 랜섬웨어 조직 내 불만 등이 겹친 상황에 랜섬웨어 피해자의 데이터 값 결제 방지 및 법률 집행 기관의 단속을 위한 국제 제재까지 시행되어 범죄 수익이 줄어든 것이라고 설명한다.
일례로, 세력이 널리 확산된 랜섬웨어 조직 콘티(Conti)는 콘티 운영자 중 한 명이 러시아의 우크라이나 전쟁에서 러시아를 지원한다는 공식 발표와 다량의 조직 내부 메시지가 유출된 후 해체되었다. 당시 콘티 조직원 다수는 하이브(Hive)라는 새로운 랜섬웨어 조직으로 개편된 후 미국 연방수사국(FBI)을 비롯한 여러 법률 집행 기관의 수개월에 걸친 비밀 수사 대상이 되었다. 법률 집행 기관은 하이브의 암호화 해독 키를 비밀리에 탈취하여 수백 건에 이르는 데이터 탈취 시도를 막았다. 체이널리시스는 암호화 해독 키를 보유한 것만으로도 피해 기관의 금액 2억 달러가 랜섬웨어 조직의 손에 넘어가는 일을 막은 것으로 추산했다. 번스 코벤은 “콘티 해체는 완벽한 타격을 가했다”라고 전했다.
반면, 2023년에는 랜섬웨어 업계에 매우 다른 타격이 이어졌다. 바로 Cl0라는 랜섬웨어 조직이 MOVEit 파일 전송 애플리케이션의 취약점을 악용하여 피해 기관 수천 곳의 보안을 공격하고는 가장 높은 수익을 기록한 피해 기관을 찾아냈다. 피해 기관 중에는 민감한 기록 수백만 개를 보유한 의료 기업과 정부 기관도 있었다. 최소 6,200만 명이 피해를 보았으며, Cl0는 대규모 공격으로 1억 달러가 넘는 금액을 갈취했다. 체이널리시스는 Cl0의 갈취 금액은 2023년 6월과 7월 기록한 랜섬웨어 피해 금액의 각각 45%, 39%에 해당한다고 분석했다.
피해 기관을 대상으로 2023년 랜섬웨어 전체 피해 금액 11억 달러보다 더 큰 피해를 일으킨 랜섬웨어 산업 규모 성장세가 계속되는 추세는 암호화폐 범죄 단속에 거듭 실패한다는 징조로 볼 수 있다. 2020년대 초반부터 규제 당국과 법률 집행 기관 모두 랜섬웨어 조직과 종종 자금 세탁 수단을 제공하여 사이버 범죄 조직이 암호화폐 범죄 수익을 인출하도록 한 불법 자금 교환소와 암호화폐 혼합 서비스 기관도 추적했다.
그러나 번스 코벤은 2023년도 랜섬웨어 전체 피해 금액이 암호화폐 단속 자체가 효과가 없다는 뜻은 아니라고 설명했다. 실제로 랜섬웨어 조직이 자산 동결이나 압수를 우려하여 계속 새로운 세탁 수법을 찾는 데 혈안인 데다가 간혹 불법 활동으로 얻은 암호화폐 인출 시도 전까지 수년 동안 랜섬웨어 갈취 금액을 보유한다고 전했다. 또한, 데이터 값을 건넨 피해 기관의 랜섬웨어 범죄 피해를 빨리 신고할수록 피해 자금 추적과 피해 자금 증발을 막는 데 더 큰 도움이 될 수 있다고 전했다. 특히, 체이널리시스나 다른 암호화폐 추적 기업이 블록체인에서 랜섬웨어 피해 자금을 추적하기 전 재빨리 피해 사실을 신고할수록 좋다.
번스 코벤은 “랜섬웨어 피해 건수와 피해 금액 모두 줄이기 가장 좋은 방법은 자금 세탁과 인출 과정에 타격을 가하는 것이다”라고 말했다. 하이브를 수사한 것처럼 법률 집행 기관이 거액의 피해 금액 발생을 막는 수사를 개시하는 방법 이외에도 랜섬웨어 조직 운영 마찰과 마비가 일부 조직의 운영, 범죄 수익 기록 정체로 이어질 수 있다.
지금은 랜섬웨어 조직의 활동이 단순히 정체된 것처럼 보인다. 자금 세탁 기관이나 피해자의 데이터 값 결제 방해, 해커 세력을 상대로 직접 더 엄격한 조처를 시행한다면, 문제 해결 기회를 얻을 수 있다. 하지만 지금의 단속 조처는 아직 충분하지 않은 듯하다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202402/5351_6937_857.jpg)
뉴스레터 신청