기업화된 “랜섬웨어 집단”… 생태계는?

시장 압력에 적응하는 랜섬웨어 공격 집단

지난 2021년 5월 미국에서 가장 큰 정유업체인 콜로니얼 파이프라인(Colonial Pipeline)에 대한 랜섬웨어 공격은 획기적인 사건이었다. 콜로니얼 파이프라인은 다크사이드(DarkSide)라는 러시아 기반 랜섬웨어 집단의 공격으로 인해 57년 역사상 처음으로 전체 가솔린 파이프라인 시스템을 폐쇄했다.

시스템 폐쇄로 랜섬웨어가 주요 제어 시스템으로 확산하는 것은 막았지만, 미국 동부 해안 전역의 연료 부족 사태를 초래했다. 콜로니얼 사건은 랜섬웨어가 주요 인프라에 미치는 위협을 부각시켜 언론과 정계의 주목을 받았으며, 이런 공격을 테러의 한 형태로 분류해야 하는지 논쟁도 일었다.

다크사이드 운영자조차도 사태의 심각성을 파악하고 향후 사회적 영향을 피하기 위해 랜섬웨어의 해킹 및 배포를 실제로 수행하는 서드파티를 위한 절제 정책을 도입했다고 발표했다. 하지만 이미 선을 넘은 상황이었다.

사이버 범죄 정보업체 플래시포인트(Flashpoint)에 따르면, 콜로니얼 사건 발생 며칠 만에 러시아 최대 규모의 사이버 범죄 포럼 가운데 하나인 XSS 관리자는 홍보 과다와 법 집행 위험도가 위험 수준이라며, XSS 플랫폼에서의 랜섬웨어 관련 활동을 전면 금지한다고 밝혔다.

레빌(REvil)을 포함한 다른 유명 랜섬웨어 집단은 피해 상황을 통제하기 위해 의료, 교육 및 정부 기관에 대한 공격을 금지하는 유사한 규제 정책을 발표했다. 대규모 사이버 범죄 포럼 익스플로잇(Exploit)과 레이드(Raid)도 랜섬웨어 활동을 즉각 금지시켰다.

이 여파로 다크사이드는 블로그, 결제 서버, 비트코인 지갑 및 기타 공공 인프라에 대한 접근 권한을 끊고 운영을 중단할 것을 발표했으며, 호스팅업체는 '법 집행기관의 요청에 따라 대응했다'라고 주장했다. 한 달 후, FBI는 콜로니얼 파이프라인이 암호화된 시스템을 해독하고 공격자에게 지불했던 440만 달러 어치의 암호화폐를 회수했다고 발표했다.

사이버 범죄 포럼의 랜섬웨어 활동 금지 조치는 위협 행위자와 새로운 위협에 대한 정보를 수집하기 위해 사이버 범죄 포럼을 감시하는 사이버보안 업계에도 영향을 미쳤다. 라간은 “범죄자를 다른 폐쇄적인 곳으로 옮긴 셈이다. 범죄자는 일반인의 관심에서 벗어났을 뿐이지 떠나지 않았다. 포럼에서 오랫동안 범죄자의 모집 방식이나 개발, 토론, 작업 중인 랜섬웨어 기능을 확인했지만, 그 역할을 할 곳이 사라진 것이다. 새로운 피해자가 생길 때까지 랜섬웨어에 추가된 기능이나 변종을 알 수 없다는 의미다”라고 설명했다.

사라지지만, 사라진 것이 아니다

유명 랜섬웨어 공격 집단은 수 개월에 한 번씩 운영을 중단한다. 지난 2021년에는 메이즈(Maze)와 다크사이드, 어바돈(Avaddon)이 운영 중단을 발표했다. 공격 집단은 해산을 결정하면서 마스터 암호화 해독키를 공개하기도 한다. 하지만 이 집단의 배후에 있는 범죄자가 실제로 랜섬웨어 생태계에서 사라지거나, 감옥에 간 것이 아니다.

다른 집단으로 이동하거나 운영 관리자에서 투자자로 전환하는 등 역할을 변경했을 뿐이다. 일반 범죄자가 페이퍼 컴퍼니를 이용해 돈을 거래하다가 압박감이 느껴지면 곧장 해체하고 종적을 감추는 것과 비슷하다.

사고 대응 및 디지털 포렌식 업체 리파르(LIFARS) CEO 온드레이 크레헬에 따르면, 랜섬웨어 집단의 수명은 약 2년이다. 랜섬웨어 공격 집단은 공격이 지나치게 성공을 거두었을 때, 세간의 관심을 분산하는 방법이 해당 집단을 해체하고 새로운 집단을 만드는 것임을 잘 알고 있다.

일부 범죄자는 은퇴하고 다른 집단의 투자자가 될 수도 있다. 범죄 집단 간 교류는 수사에 혼란을 야기하고 법 집행 기관이 전체 가담자를 특정하는 데 걸림돌이 된다.

랜섬웨어의 ROI는 매우 뛰어나다. 사이버 범죄자가 랜섬웨어에 관여할 수밖에 없는 이유다. 신용카드 절도나 은행 해킹 등 다른 형태의 사이버 범죄 집단이 랜섬웨어를 수익원으로 채택하거나 랜섬웨어 공격 집단과 협력하기 시작한 것도 높은 ROI 때문이다. 비즈니스 세계의 인수합병과 비슷하다.