2024년 6월 10일(현지 시각), 세계 어느 곳에서든 학교, 진료소, 약국 등을 찾은 이들 중 컴퓨터 시스템 장애가 발생했다는 안내를 받은 이들이 많을 것이다. 전산 장애의 주된 원흉은 세계 각지에서 운영하는 사이버 범죄 조직이 피해자에게 탈취 데이터를 안전하게 되찾을 조건으로 시스템 접근 비용을 요구하기 때문이다.
2024년, 동시다발적으로 발생하는 랜섬웨어는 경찰의 단속이 증가하여도 사라질 기미가 보이지 않는다. 이에, 많은 전문가가 더 극단적인 피해를 일으키는 단계로 접어들 것을 우려한다.
리코디드퓨처(Recorded Future) 위협 정보 애널리스트 알란 리스카(Allan Liska)는 와이어드에 “현재 랜섬웨어 퇴치 전쟁에서 승리하지 못한 사실이 분명하게 드러났다”라고 말했다.
랜섬웨어는 지난 10년간의 사이버 전쟁을 범죄 세력이 병원, 공교육 기관, 정부 기관 등 광범위한 영역의 피해자를 표적으로 삼은 사이버 공격 행위로 정의할 수 있을 것이다. 랜섬웨어 공격자는 중요한 데이터를 암호화하고는 피해자의 작업이 멈추도록 하고는 민감한 정보를 공개한다는 위협을 가하면서 금전 갈취 범죄를 저지른다. 랜섬웨어 공격은 심각한 결과로 이어졌다. 2021년, 미국 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)을 겨냥한 랜섬웨어 사태 당시 콜로니얼 파이프라인은 연료 공급을 중단할 수밖에 없었다. 결국, 조 바이든 미국 대통령은 연료 수요를 충족하고자 긴급 대책을 시행했다. 그러나 랜섬웨어 공격은 세계 각지에서 끊임없이 발생하며, 대다수 공격 발생 사실이 언론에 대서특필되지는 않는다.
소프트웨어 기업 엠시소프트(Emsisoft) 소속 위협 애널리스트 브렛 칼로우(Brett Callow)는 “랜섬웨어 사건에는 대다수 기관이 피해 사실을 공개하거나 보고하지 않는다는 가시적인 문제가 있다”라며, “피해 기관이 랜섬웨어 피해 사실을 보고하거나 공개하지 않는 탓에 매달 랜섬웨어 공격이 발생하는 추세를 알아내기 어렵다”라고 말했다.
[사진=Freepik]
보안 연구원은 랜섬웨어 공격을 공개한 공공 연구 기관의 정보에만 의존한다. 심지어 사이버 범죄 조직 자체에 의존하기도 한다. 그러나 리스카가 언급한 바와 같이 사이버 범죄 조직은 거짓을 일삼는 악의적인 세력이라고 언급했다.
랜섬웨어와 관련한 모든 지표를 종합해 보면, 2024년에는 랜섬웨어가 사라지기는커녕 랜섬웨어 발생 속도가 더 빨라질 것이라는 문제를 발견할 수 있다. 구글 자회사인 보안 기업 맨디언트(Mandiant)의 최신 연구 보고서를 보았을 때 2023년은 랜섬웨어 피해가 역대 최고치를 기록한 해였다. 보고서에 따르면, 피해 기관이 랜섬웨어 조직에 건넨 금액은 10억 달러가 넘는다. 보고서로 제시된 금액은 이미 알려진 금액만 추산한 결과이다.
보고서를 통해 확인된 랜섬웨어 공격의 주요 추세는 사이버 범죄 조직이 이른바 ‘망신 사이트’를 언급한 글을 남기는 사례가 빈번해진 것이다. 망신 사이트는 랜섬웨어 공격자가 피해자를 상대로 한 금전 갈취의 일부 과정으로 데이터를 유출하는 공간이다. 맨디언트는 2023년 기준 망신 사이트에 게재된 정보는 2022년 대비 75% 증가했다는 분석 결과를 공개했다. 피해자에게서 탈취한 민감 데이터를 공개하는 망신 사이트는 피해자가 돈을 건네지 않을 때 민감 데이터가 공개될 시간을 세는 등 주목받는 전략을 적용한다. 많은 전문가가 랜섬웨어 조직이 협박 전략의 심각성은 급속도로 증가한다고 전했다.
칼로우는 “솔직하게 말하자면, 랜섬웨어 조직이 민감 정보 공개 시간을 재는 방식으로 금전 갈취 위협을 가하는 수법은 점차 잔인해지는 것 같다”라고 말했다.
예를 들어, 해커 세력은 이미 전화나 이메일로 피해자에게 직접 협박하기 시작했다. 2023년, 시애틀 소재 프레드허치슨암연구소(Fred Hutchinson Cancer Center)는 랜섬웨어 공격 대상이 되었다. 당시 암 환자 수백만 명이 랜섬웨어 조직이 요구하는 돈을 건네지 않는다면, 개인 정보를 공개할 것이라는 위협이 담긴 메일을 받았다.
칼로우는 “랜섬웨어 공격이 조만간 현실 세계 폭력에도 영향을 미칠 것을 우려한다. 랜섬웨어 피해자가 수백만 명이 있다면, 랜섬웨어 조직이 요구하는 돈을 건네는 것을 거부한 임원이나 그 가족을 상대로 악의적인 행동을 할 수도 있다.
랜섬웨어 공격의 결과로 발생한 사건 증가 보고 사례는 없지만, 사이버 범죄 조직은 현실 세계 위협을 동원한 금전 갈취를 랜섬웨어 사례는 아직 보고되지 않았다. 리스카는 “랜섬웨어 조직이 피해 기관의 CEO 거주지 정보를 알고 있다는 등 개인 정보로 협박하여 피해 기관과 협상한 사례를 본 적이 있다”라고 말했다.
범죄 조직의 생사를 위협하는 잔혹한 접근 방식을 이야기하자면, 맨디언트 연구팀이 2016년부터 2021년 사이 병원을 겨냥한 랜섬웨어 공격과 랜섬웨어가 원인이 된 생명을 구할 수 있는 진료 지연으로 사망한 환자 수가 42~67명에 이를 것으로 추산한 사실에 주목할 만하다.
리스카는 랜섬웨어 조직이 아무 맥락도 없이 고립된 상태에서 공격을 개시하는 것이 아니라는 점에 주목했다. 랜섬웨어 조직 구성원의 회원은 허술한 세계 범죄 네트워크 조직인 ‘Comm’ 회원이기도 하다. 랜섬웨어 조직은 온라인에서 조직을 형성하고는 심 스와핑(SIM swapping)처럼 전형적인 사이버 범죄와 함께 서비스로서의 범죄 수법도 추가로 제공한다. Comm 회원은 폭행, 자택 내 총기 발사, 고문을 묘사할 의도를 지닌 소름 끼치는 영상 게재 의사 등을 홍보한다. 2023년, 404 미디어는 Comm 회원이 심각한 피해를 일으킨 MGM 카지노 해킹 사태에 조력한 뒤 미국 연방수사국(FBI)의 암호화 해독 툴 개발 및 일부 웹사이트 압수 작전으로 무력화된 악명 높은 조직인 AlphV를 포함한 여러 랜섬웨어 조직과 직접 협력한다. 이후 AlphV는 미국 전역의 의료 서비스 마비를 유발한 체인지 헬스케어(Change Healthcare) 공격을 개시했다.
리스카는 랜섬웨어 조직과 폭력적인 사이버 범죄 조직 간의 관계가 매우 우려스럽다고 전했다.
최근, 법률 집행 기관은 랜섬웨어 조직을 완벽하게 퇴치하지는 못했으나 어느 정도 무력화하는 데는 성공했다. 2024년 2월, ‘크로노스 작전(Operation Cronos)’이라는 이름으로 알려진 국제 협력 작전은 랜섬웨어 조직의 웹사이트를 압수하고 피해자에게 무료 암호화 해독 툴을 배포하여 널리 확산된 락빗(LockBit) 랜섬웨어 작전을 무력화하는 데 성공했다. 법률 집행 기관 관료는 우크라이나와 폴란드에 본거지를 두고 활동한 락빗 관련 조직 구성원 두 명도 체포했다.
랜섬웨어 공격량을 줄이기 어려운 부분적인 이유는 랜섬웨어 조직 때문이다. 랜섬웨어 조직은 스타트업과 비슷한 구조로 공격을 개시하면서 간혹 구독 서비스와 24시간 내내 쉴 틈 없이 랜섬웨어 공격 소프트웨어를 지원하는 동시에 공격을 개시할 산하 조직 구성원을 모집한다. 랜섬웨어 조직은 주로 러시아에 본거지를 두고 활동한다. 결국, 서양 법률 집행 기관이 랜섬웨어 조직 자체의 협박 전략과 심리적 작전으로 눈을 돌리게 되었다.
예를 들어, 크로노스 작전은 피해자 정보 공개 사이트에서 락빗의 운영자로 추정되는 31세 러시아 국적자 드미트리 코로셰브(Dmitry Khoroshev)의 신원 공개까지 남은 시간을 세는 방식으로 랜섬웨어 조직이 피해자의 정보 공개 시간을 위협하면서 금전을 갈취하던 수법을 역이용했다. 미국 검찰은 코로셰브를 총 26개 혐의로 기소하고, 제재 명단에 추가했다. 코로셰브가 러시아에 있는 것으로 알려졌으나 러시아를 떠나지 않는다면, 실제로 체포될 확률이 낮다. 그러나 신원을 공개하는 것만으로도 락빗의 관련 조직의 코로셰브 신뢰도 저하를 유발하여 분노를 유발하는 방식으로 코로셰브의 랜섬웨어 작전을 추가로 방해할 수 있다.
칼로우는 “지금도 코로셰브의 자금 일부를 손에 넣는 데 관심을 보이는 이들이 많다. 그중 다수는 코로셰브에게 타격을 가하고 범죄인 송환이 가능한 곳으로 국경을 넘도록 유도하고자 한다”라고 전했다. 락빗과 연결된 조직도 코로셰브가 자발적으로 러시아 땅을 떠날 때 체포될 가능성을 우려한다.
리스카는 “법률 집행 기관은 랜섬웨어 조직 구성원이 법률 집행 기관의 체포망에 취약하다는 사실을 인지하도록 하고자 한다”라고 말했다.
랜섬웨어 조직 통제의 또 다른 장벽은 재차 발생하는 랜섬웨어 산하 조직이다. 복수 애널리스트가 락빗이 법률 집행 기관의 작전으로 무력화되자마자 랜섬웨어 조직 웹사이트 10개가 새로이 생성된 사실을 확인했다. 리스카는 “그동안 랜섬웨어 조직을 연구하면서 본 사례 중 락빗 퇴치 이후 30일 사이 새로 형성된 랜섬웨어 조직 수가 가장 많았다”라고 전했다.
법률 집행 기관도 랜섬웨어 조직이 계속 생겨나는 상황에 적응하는 추세이다. 2024년 5월, 엔드게임 작전(Operation Endgame)이라는 국제 협력 작전은 멀웨어 드로퍼(malware dropper)의 여러 작전을 무력화했다고 발표했다. 멀웨어 드로퍼는 사이버 범죄 생태계에서 중요한 부분을 차지한다. 해커 세력이 보안 프로그램의 탐지를 피한 채로 랜섬웨어나 다른 악성 코드를 유포하도록 하기 때문이다. 엔드게임 작전으로 미국과 우크라이나에서 공격자 4명을 체포하고, 100개가 넘는 서버를 차단하면서 도메인 수천 개를 장악했다. 엔드게임 작전도 크로노스 작전과 마찬가지로 러시아어로 작성된 문자를 포함하여 정보 공개까지 남은 시간을 보여주는 영상과 사이버 범죄자에게 다음 행동을 생각하도록 유도하는 심리적 전략을 택했다.
랜섬웨어 문제의 규모는 다루기 어렵지만, 리스카와 칼로우 모두 불가능한 일은 아니라고 말한다. 칼로우는 랜섬웨어 조직이 요구하는 데이터 암호화 해제 비용을 건네는 행위를 금지한다면, 가장 큰 차이가 발생할 것이라고 전했다. 리스카는 데이터 암호화 해제 비용을 건네는 행위 금지를 열렬히 지지하지 않는다. 다만, 법률 집행 기관의 대응이 계속된다면, 결과적으로 실제 랜섬웨어 조직이 매우 드문 수준으로 줄어들 것으로 본다.
리스카는 “랜섬웨어 조직 퇴치를 이야기할 때 종종 조직 하나를 퇴치하면, 또 다른 조직이 형성되는 과정이 반복된다고 말한다. 하지만 법률 집행 기관의 작전은 전반적으로 랜섬웨어 조직 수를 줄인다. 따라서 랜섬웨어 조직 하나를 퇴치하면, 다른 조직이 새로 등장하는 것은 맞다. 그러나 시간이 지나면서 새로 등장하는 랜섬웨어 조직 수가 감소할 것이다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202406/5618_7240_4128.jpg)
뉴스레터 신청