최근 활발하게 공격을 수행해온 랜섬웨어 해커 중 일부가 활동을 중단하는 모습이 나타나고 있다. 랜섬웨어 피해 대상이 기업뿐만 아니라 의료, 자원 인프라를 비롯한 사회기반시설 등으로도 확산되면서 국제 수사 당국이 공조 수준을 강화하자 이를 의식한 대응이라는 분석이 제기된다.
랜섬웨어는 피해 기기의 데이터를 암호화한 뒤 이를 복호화해주는 대가로 금전을 갈취하는 해킹 공격이다. 그러나 수시 백업을 생활화하는 등 랜섬웨어에 대한 사용자의 대응 수준이 전반적으로 향상되면서 지난 1년여간 해커들은 단순히 데이터를 암호화하는 것을 넘어 다양한 전략을 동원하고 있다. 탈취한 데이터를 외부에 유출하겠다고 협박하거나, 피해 대상의 웹사이트에 분산서비스거부(DDoS) 공격을 실시하거나, 탈취한 데이터 중 고객 정보를 찾아 해당 고객을 협박 대상으로 삼는 등의 행태가 관찰됐다.
해킹 공격이 지능화, 고도화되는 반면 수사 당국의 해커 대응력도 향상되는 모습을 보였다. 해커들이 정보 교류 및 거래를 위해 사용하는 다크웹을 폐쇄하거나, 피해자가 데이터 복호화 대가로 지급한 암호화폐를 되찾아오는 등 과거에는 속수무책으로 여겨졌던 부분에서도 성과를 거두는 모양새다. 이런 상황에서 해킹에 대한 수사 수위가 높아지고, 사이버범죄자 체포를 위한 국제 공조 필요성이 강조되자 해커들이 수사망을 피하기 위해 활동을 중단하고 있다는 것이다.
■정유·대기업 공격 주체 랜섬웨어 운영 중단돼
지난 한 달여간 랜섬웨어 공격으로 인한 피해가 두드러진 국가는 미국이다. 지난달 미국 최대 송유관 업체인 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 송유관 가동이 약 6일간 중단된 데 이어 세계 최대 정육업체 JBS의 미국 법인 JBS USA도 랜섬웨어로 미국 도축장 일부의 운영이 중단됐다. 각 해킹 공격이 일어난 직후 미국에서는 유가와 육류 가격이 인상되기도 했다.
오프라인에까지 영향을 미친 탓에 미국의 피해 사실이 널리 알려졌지만, 그 외 전세계 지역에서도 랜섬웨어 공격이 횡행했다.
다른 해외 사례들을 살펴보면, 지난달 아일랜드 보건 서비스가 랜섬웨어 공격을 받아 추가 피해를 막기 위해 전산 운영을 몇 주 이상 중단했다. 글로벌 보험사 AXA는 특히 고객의 성 건강 상태가 포함된 의료 진단서와 신분증, 은행 계좌 정보 등 민감한 데이터들이 유출되기도 했다. 아시아 지사들이 랜섬웨어와 DDoS 공격을 받아 나타난 결과다. 일본 대기업 후지필름도 이달 초 랜섬웨어 공격을 받은 사실을 알렸다.
국내에서도 피해 사례가 잇따르고 있다. 지난달 과학기술정보통신부는 국내 배달 대행 플랫폼 기업, 자동차 부품 제조 기업이 랜섬웨어 피해를 입은 상황이라고 공개했다. 그러면서 한국인터넷진흥원 인터넷침해대응센터(KISC)에 접수된 랜섬웨어 신고 건수가 지난 2019년 39건을 기록한 데 비해 올해는 지난 4일까지 65건을 기록하는 등 공격이 활발해졌다며 주의를 당부했다.
이처럼 전세계 피해가 불거진 상황에서 주요 랜섬웨어 해커들이 운영 중단을 발표했다. 콜로니얼 파이프라인 공격에 쓰인 랜섬웨어 '다크사이드(DarkSide)'는 공격 사실이 알려진 지 일주일 여만에 운영을 중단하고, 피해자들에게 복호화 키를 전송하겠다고 발표했다. 운영 중단 이유에 대해 사법 당국과 미국 정부의 압력을 꼽은 것으로 알려졌다.
AXA와 국내 기업에 피해를 입힌 랜섬웨어 '아바돈(Avaddon)'도 운영을 중단했다. 이는 최근 가장 활발히 유포되던 랜섬웨어로, 글로벌 보안 기업 레코디드퓨처에 따르면 지난 5월 콜로니얼 파이프 해킹 이후 발생한 랜섬웨어 공격 중 23.7%가 아바돈에 의해 발생했다.
미국 IT 매체 블리핑컴퓨터는 아바돈 운영자가 공격을 중단하고, 피해자 데이터를 복호화할 수 있는 키 2천를 매체에 공유해왔다고 지난 11일 보도했다. 블리핑컴퓨터는 랜섬웨어 해커 협상 전문가 및 회사들을 인용해 아바돈이 운영을 중단하기 전 며칠 동안 피해자들이 복호화 비용을 지불하도록 압력을 집중적으로 가하는 모습이 목격됐다고 언급했다.
■"사이버공격, 테러와 동급"…각국 수사 대응 수위 높아져
랜섬웨어들이 잇단 운영을 중단한 배경에는 미국을 비롯한 각국 정부가 랜섬웨어를 적극적으로 수사하기로 나선 점이 가장 큰 영향을 줬다.
이달 초 미국 법무부는 랜섬웨어 수사의 우선 순위를 테러와 유사한 수준으로 높일 것이라고 밝혔다. 이어 크리스토퍼 레이 미국 연방수사국(FBI) 국장도 현재 미국에 가해지는 사이버 공격이 지난 2001년 9.11 테러와 비슷한 수준이라며, 현재 랜섬웨어 100종을 수사 중이라고 언급했다. 아울러 랜섬웨어 해커들이 러시아에 있다고 덧붙이며 러시아 정부의 대응이 필요하다고 강조했다.
더 나아가 조 바이든 미국 대통령은 오는 16일 제네바에서 예정된 블라디미르 푸틴 러시아 대통령과의 회담에서 사이버범죄자에 대한 상호 인도를 제안할 예정이다. 다크사이드와 아바돈, JBS 공격 배후로 지목되는 '레빌' 등 최근의 주요한 해킹 사고의 배후로 러시아 소재로 추정되는 해커 집단들이 지목되고 있는 점을 고려해 국가 차원의 대응을 시사한 것이다.
최근 해킹 사고 수사 성과가 점차 진전되고 있는 점도 해커들의 불안을 키우는 데 기여했을 것으로 보인다. 다크웹, 암호화폐, 텔레그램 등 사이버범죄자들이 수사 당국의 추적을 막기 위해 사용하는 수단들을 무력화한 사례들이 등장하고 있다.
미국 법무부는 지난 7일 콜로니얼 파이프라인이 다크사이드 운영자에게 복호화 대가로 지불한 75 비트코인 중 63.7 비트코인(약 28억원)을 회수했다고 발표했다. 암호화폐는 기술 구조 상 거래 추적 및 자금 회수가 어려워 해커들이 범죄 자금 은닉 수단으로 자주 활용해왔다. 그런데 구체적인 방법은 자세히 밝히지 않았으나, 은닉한 자금 대부분을 회수한 것이다.
지난달 독일 경찰은 아동 성 착취물을 공유하는 다크웹을 폐쇄하고 운영진 2명과 회원 1명을 체포했으며, 운영진 1명은 압송 중인 상태라고 밝혔다. 다크웹은 특수한 경로로만 접근할 수 있는 웹사이트로, 이용자의 익명성을 위해 암호화된 네트워크에서 운영된다. 때문에 IP 추적 등 일반적인 방식의 수사 기법을 적용하기 어려운 것으로 알려져 있다. 이런 다크웹을 수사하기 위해, 유로폴 및 국제 수사 당국과의 공조로 성과를 거둔 것이다. 지난 2019년 폐쇄된 다크웹 '웰컴투비디오'도 경찰청과 국제 수사 공조를 거쳐 사이트가 폐쇄됐다.