본문 바로가기 주메뉴 바로가기 검색 바로가기
1억 8000만 달러 탈취한 랜섬웨어 조직의 허황된 큰 꿈
상태바
1억 8000만 달러 탈취한 랜섬웨어 조직의 허황된 큰 꿈
사이버 범죄 조직 콘티의 파일 유출본을 통해 콘티가 암호화폐 결제 플랫폼과 소셜 네트워크 개발을 시작한 사실이 드러났다. 심지어 카지노 설립 계획도 구상했다.
By MATT BURGESS, WIRED UK

랜섬웨어 조직 콘티(Conti)가 2021년, 여러 기업을 대상으로 1억 8,000만 달러를 갈취한 데 그치지 않고 범죄 수익금을 새로운 자금 확보 계획에 투자한다. 러시아 사이버 범죄 조직 콘티의 유출된 내부 문건을 통해 그동안 자체 소셜 네트워크와 암호화폐 플랫폼을 개발해온 사실이 드러났다. 콘티 지도자는 온라인 카지노 개설까지 제안했다.

콘티의 기이한 사업 확장 계획은 콘티를 상대로 사이버 공격을 개시한 우크라이나 사이버 보안 연구원이 손에 넣은 콘티 그룹 채팅 메시지와 파일 6만 건을 통해 드러났다. 안전상의 이유로 익명을 요청한 연구원은 2월 27일(현지 시각), 트위터 계정을 통해 블라디미르 푸틴의 우크라이나를 침략하기 며칠 전 확보한 콘티의 내부 작업 정보를 공개했다. 와이어드는 해당 유출 문건을 자세히 검토했다.

유출된 메시지 내용이 주로 악명 높은 랜섬웨어 조직인 콘티의 일상 작업을 자세히 보여주며, 사이버 범죄를 동원한 기업 대상 금전 갈취 이외의 세력 확장 계획도 담고 있다. 콘티의 일부 황당무계한 계획안인 암호화폐 계획과 소셜 미디어 계획이 포함되었다. 그러나 법률 집행 기관이 세계 각지에서 강력한 급습과 랜섬웨어 조직 구성원 체포 등 조직 공격 노력을 펼치는 시점에 암호화폐 사업과 소셜 미디어 사업 계획이 제시되었다.

콘티의 영역 다각화 노력은 콘티의 최고 지도자의 제안으로 시작되었다. 2021년 여름, 콘티의 CEO 격인 스턴(Stern)은 조직원 수십 명에게 보낸 개인 메시지로 스스로 블록체인과 최신 동향 전문가라고 생각하는 이를 찾는다고 전했다. 또, 이더리움 코드 라이브러리 네더리움(Nethereum)과 블록체인 플랫폼 폴카닷(Polkadot), 암호화폐 거래소 바이낸스(Binance)를 언급하며, “자체 암호화폐 시스템을 구축하고자 한다”라고 말했다. 당시 총 100명이 넘은 콘티 조직원은 블록체인 기술 개발 방안과 관련해 각종 정확하지 않은 내용을 이야기하거나 무지한 반응을 보이기도 했다. 어느 한 조직원은 “암호화폐 인기를 최대한 이용할 시기를 놓친 것이 틀림없다”라는 답변을 보냈다.

수년간 콘티의 동향을 관측한 인물이자 콘티 정보를 유출한 우크라이나 연구원과도 친분이 있는 사이버 보안 기업 홀드 시큐리티(Hold Security) CEO이자 창립자인 알렉스 홀든(Alex Holden)은 “콘티는 암호화폐 사업 논의 회의까지 진행했다”라며, “블록체인 기술과 암호화폐 사업 활용 방안을 두고 갑자기 매우 열성적인 모습을 보였다”라고 말했다.

스턴은 추후 보낸 메시지에서 NFT와 탈중앙화 금융, P2P 탈중앙화 거래소(DEX)도 언급했다. 암호화폐 사업 관련 논의는 수개월 동안 진행됐다. 2022년 2월, 콘티 내부 파일이 유출되기 불과 며칠 전, 스턴은 어느 한 조직원과 메시지를 주고받으며 러스트(Rust) 프로그래밍 언어를 이용한 시스템 구축과 랜섬웨어 공격에 스마트 계약을 이용할 가능성을 논의했다. 사이버 보안 분야 탐사 언론인인 브라이언 크렙스(Brian Krebs)가 최초 보도한 바와 같이 콘티는 해커 포럼 경쟁을 주관해 암호화폐 시스템 개발 아이디어를 얻었다. 또한, 2021년 11월 발생한 수십억 달러 규모의 넷플릭스가 동기가 된 오징어게임 암호화폐 사기와도 관련이 있는 것으로 드러났다.
 
[사진=Unsplash]
[사진=Unsplash]

콘티의 암호화폐 플랫폼 개발 수준이 어느 정도인지는 정확하지 않지만, 홀든은 콘티 조직원이 2021년 7월, ‘약탈’이라는 의미의 모방 암호화폐 플랫폼 바블로(Bablo)의 스크린샷을 공유한 사실을 언급했다. 스턴이 암호화폐 시스템 개발 관련 메시지를 보낸 시점이다. 바블로 로고에는 비트코인 로고인 B가 포함됐다.

홀든은 암호화폐 플랫폼 개발에 관심을 보이는 이유는 돈 때문이라고 말했다. 그는 “콘티가 범죄 자금을 관리하고 자금 세탁을 하고자 했다고 설명할 수 있다. 예를 들어, 직접 자금 세탁을 할 수 있다면, 갈취 금액을 더 빠른 속도로 자체 플랫폼에 옮길 수 있다. 자금을 숨기거나 자금 추적 과정을 방해할 수 있다”라고 설명했다.

랜섬웨어 조직은 주로 암호화폐로 데이터값을 건네도록 요청하다. 블록체인 추적 기업 체이널리시스(Chainalysis)는 2020년과 2021년, 피해 기관이 건넨 암호화폐 랜섬웨어 금액이 6억 달러 이상이라고 추산했다. 콘티의 암호화폐 갈취 금액이 가장 많은 것으로 나타났다. 그러나 법률 집행 기관과 수사 기관은 블록체인에서 랜섬웨어 결제 금액을 추적하고 랜섬웨어 조직에 연루된 개인을 찾는 데 갈수록 더 능숙해지는 추세이다.

콘티는 자체 시스템을 구축해 조직원이 법률 집행 기관의 감시망을 빠져나가도록 돕고자 할 수 있었다. 보안 기업 애드브인텔(AdvIntel) CEO 비탈리 크레메즈(Vitali Kremez)는 “콘티는 랜섬웨어 범죄 자금 자치권을 추가로 행사하고자 한다”라고 말했다. 또, 콘티가 블록체인 기반 시스템을 개발한다면, 다른 공공 암호화폐 장부에 의존할 때보다 피해 기관의 랜섬웨어 자금 결제를 더 수월하게 진행할 수 있다고 덧붙였다. 그러나 랜섬웨어 조직이 자체 결제 시스템을 개발하는 일은 전례가 없으며, 과거의 철학에 적합하다.

암호화폐 플랫폼은 콘티를 매일 운영하는 데 두는 것이 타당하다고 볼 수 있지만, 콘티의 소셜 네트워크 개발 노력은 분명한 방향이 없는 것으로 드러났다. 콘티의 일부 고위급 관리자가 소셜 네트워크 개발 대화에 참여했다. 대화 첨여자 중에는 스턴과 콘티 우두머리에게 직접 상황을 보고하면서 조직원의 범죄 급여 지급이 이루어지도록 확인하는 콘티 총괄 관리자 망고(Mango)가 포함됐다. 

망고는 스턴과 논의한 뒤 콘티 조직원 고스트(Ghost)에게 “주로 콘티 조직과 커뮤니티를 위한 소셜 네트워크를 구축한다”라는 메시지를 보냈다. 또, 콘티의 소셜 네트워크가 러시아 최고 규모 소셜 미디어 웹사이트 브이콘타크테(VK)의 다크넷 버전이 될 것이라고 말했다.

2021년 7월, 스턴은 망고에게 소셜 네트워크를 상업 서비스로 개발하고자 한다고 전했다. 페이스북과 트위터를 포함한 주요 소셜 미디어 플랫폼과 같은 중앙화된 폐쇄 코드 시스템을 원한다고 설명했다. 스턴은 “가장 중요한 요소는 거래”라며, 소통과 뉴스는 추후 추가할 계획이라고 말하기도 했다.

콘티는 자체 암호화폐 플랫폼 개발 프로젝트처럼 소셜 네트워크의 모습을 구상했다. 2021년 7월, 조직 내부에서는 두 가지 디자인을 공유했으며, 다른 소셜 네트워크와 같은 디자이너를 채택했다. 와일드 킹덤(Wild Kingdom)이라는 이름을 사용한 모방 소셜 네트워크는 타인의 프로필 페이지를 찾는 로그인 사용자를 보여준다. 계정의 최근 활동 정보와 연락처 정보, 마지막 계정 활성화 시기, 메시지 공개 상태 등을 볼 수 있다. 광고 공간도 두고 있다. 와일드 킹덤은 콘티의 암호화폐 이익을 다루기도 한다. 특정 계정의 비트코인 보유 금액도 볼 수 있다.

스턴은 망고에게 보낸 메시지를 통해 “모두 와일드 킹덤에 접속할 것이다. 기자와 일반 사용자, 구매자 모두 사용할 것이다. 접속자 수 최소 100만 명을 기록하리라 장담한다”라고 전했다. 그러나 콘티의 계획은 너무 지나치다. 스턴은 한 술 더 떠 도박 사업 전환을 이야기했다. “어쩌면, 카지노를 만들 수도 있다.”

콘티가 암호화폐 플랫폼과 소셜 네트워크 등 부수적인 프로젝트에 돈과 시간을 들였으나 지금까지 어떠한 것도 등장하지 않았다. 보안 기업 맨디언트(Mandiant)의 사이버 범죄 분석 국장 킴벌리 구디(Kimberly Goody)는 콘티의 계획 중 그 어느 것도 절대 실현되지 않을 것이라고 주장한다. 구디 국장은 “콘티의 계획이 목표를 달성하거나 현실적으로 가능하다고 생각하지 않는다”라고 말했다. 다만, 콘티가 조직 단위에서 출세 지향적 목표를 지닌 사실을 볼 수 있다고 덧붙였다.

콘티나 적어도 콘티 조직원은 랜섬웨어 이외의 생활도 깊이 고려하고 있다. 크레메즈는 “콘티 조직원은 단순히 임금을 우려하는 개인이 아니다. 콘티의 유산과 장기적인 미래를 생각한다”라고 말했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The Big, Baffling Crypto Dreams of a $180 Million Ransomware Gang
이 기사를 공유합니다
RECOMMENDED