2021년 초, 대형 랜섬웨어 공격에 세간의 이목이 집중되자 사이버 범죄자 사이에서 암시장 역할을 하는 사이버 범죄 포럼은 랜섬웨어와 관련된 토론 및 거래를 금지했다. 일각에서는 이런 금지 조치가 랜섬웨어 집단의 조직력에 상당한 영향력을 미칠 수 있을 것이라 기대했지만, 오히려 사이버 범죄 활동을 더 어둠의 세계로 밀어넣을 뿐이었다. 감시가 더 어려워진 것이다.
사이버 범죄 포럼의 랜섬웨어 토론 및 거래 금지 조치가 시작되자 랜섬웨어 공격은 그 어느 때보다 강력하고 대담해졌다. 고도로 전문화된 공격 집단은 개발팀, 영업 및 홍보부서, 외부 계약업체, 서비스업체 등을 보유한 현대적 기업 구조와 여러 면에서 유사하다. 공격 집단은 피해 기업과 의사소통할 때 비즈니스 용어를 사용하기도 하며, 심지어 피해 기업을 데이터 암호 해독 서비스를 구매하는 고객 이라고 부른다
랜섬웨어에 의존하는 지하 경제
랜섬웨어 공격 집단의 구성과 운영 방식을 살펴보면, 사이버 범죄 생태계의 중심에 있는 것이 랜섬웨어라는 사실을 알 수 있다. 랜섬웨어 범죄 집단은 다음과 같은 사람을 고용해 운영을 세분화한다. 파일 암호화 프로그램 작성(개발팀), 결제 및 유출 사이트, 커뮤니케이션 채널 설정 및 유지 관리(IT 인프라팀), 포럼에 랜섬웨어 서비스 광고(영업팀), 언론과 소통, 트위터에 메시지 게시, 블로그에 공지사항 게시(홍보 및 소셜 미디어팀), 몸값 협상(고객 지원팀), 피해자 네트워크 수동 해킹 및 횡적 이동을 수행해 랜섬웨어 프로그램 배포(협력사 또는 침투 테스터로 알려진 외부 계약자)로 분업화되어 있다.
협력사는 트로이목마 프로그램이나 봇넷, 도난당한 자격 증명으로 이미 시스템을 해킹한 다른 사이버 범죄자로부터 네트워크에 대한 접근 권한을 구매하는 경우가 많다. 이런 서드파티를 IAB(Initial Access Broker)라고 한다. 협력사는 표적 정찰에 도움이 되는 도난 계정 정보나 내부 정보가 포함된 데이터 덤프를 구입하기도 한다. 스팸 이메일 서비스와 방탄 호스팅(Bulletproof Hosting)도 자주 이용하는 방법이다.
랜섬웨어를 통해 직간접적으로 돈을 버는 사이버 범죄 생태계에는 관련자가 많다. 따라서 이런 범죄 집단이 전문화되어 투자자, 관리자, 제품 마케팅, 고객 지원, 일자리 제공, 파트너십 등을 갖춘 기업과 유사하게 운영되는 것은 드문 일이 아니다. 이런 생태계는 수년에 걸쳐 서서히 형성되고 있다.
보안업체 인텔 471의 CISO 브랜든 호프먼은 “사이버 범죄는 본질적으로 서비스업체, 제품 제작자, 투자자, 인프라 제공업체가 있는 지하 경제를 이뤘다. 지상 경제와 공급자와 수요자만 다를 뿐이다. 자유시장 경제와 마찬가지로 고객이 다양한 유형의 서비스 및 제품 공급업체에 접근할 수 있기 때문에, 서로 협력하고 비즈니스를 구축하는 것은 자연스러운 일이다. 증명하기는 어렵지만, 범죄 집단이 이런 추세를 따라가고 있다고 확신한다”라고 설명했다.
라간은 “보안업계는 수년 전부터 범죄자가 소프트웨어 개발 라이프사이클을 갖고 있다는 것을 알고 있었다. 범죄 집단은 마케팅, 홍보, 중간 관리 인력을 보유하고 있으며, 더 큰 수준의 범죄자에게 보고하는 하급 범죄자를 담당하는 인력도 있다. 이런 구조는 새롭지 않다. 랜섬웨어 공격 집단과 전통적인 기업 간 유사점을 더 많은 사람이 알게 됐을 뿐이다”라고 말했다.