지난 6월 7일 미 법무부는 콜로니얼 파이프라인(Colonial Pipeline)이 다크사이드(DarkSide) 랜섬웨어 공격자에게 5월 8일 지불한 금액의 일부로 추정되는 약 230만 달러 상당의 63.7 비트코인을 압수했다고 발표했다.
콜로니얼 파이프라인은 5월 7일 회사가 발표한 심각한 랜섬웨어 공격 이후 시스템의 전체 지능을 복원하기 위해 총 440만 달러의 비트코인 몸값을 사이버 범죄자에게 지불했다고 시인했다.
미 캘리포니아 북부지방 검찰청 특별검사부와 자산 몰수 부서(Asset Forfeiture Unit)는 캘리포니아 북부지방법원 치안판사가 압수수색 영장을 승인하자 곧바로 비트코인 지갑을 압수했다. 다크사이드 공격자는 지난 5월 중순, 결제 서버 등 일부 서버에 대한 통제력을 상실하고 미국의 ‘압박’으로 폐쇄한다고 발표한 바 있다. 이를 감안한다면 지갑 압수 소식은 그리 놀랄 일은 아니다. 당시 다크사이드는 자금의 일부가 미지의 계좌로 인출됐다고 진술했다.
'돈의 흐름을 쫓아라'라는 수사 격언은 여전히 작동
미 법무부 법무차관 리사 모나코는 언론 브리핑에서 “‘돈의 흐름을 쫓아라’라는 옛 격언이 여전히 적용된다”라고 말했다. 콜로니얼 파이프라인이 사법당국에 신속하게 통보한 후, 7일 새벽 미국 캘리포니아 북부지방 법원에서 발부한 압수 수색 영장에 따라 법무부는 몸값의 대부분을 찾아 냈다. 콜로니얼은 지난달 랜섬웨어 공격의 여파로 다크사이드 네트워크에 돈을 지불했다. 지갑의 표적 압수는 특히 석유 및 가스 파이프라인과 같은 매우 중요한 기반 시설을 대상으로 하는 점점 더 파괴적인 랜섬웨어 공격을 약화시키는 것을 목표로 한다. 모나코는 “우리는 디지털 화폐 형태의 범죄 수익을 포함해 랜섬웨어와 디지털 탈취 공격을 유발하는 전체 생태계를 추적함으로써 다크사이드의 판도를 뒤집었다”라며, “우리는 랜섬웨어 공격과 기타 사이버 공격에 대처하기 위해 필요한 모든 도구와 리소스를 계속 사용할 것이다”라고 밝혔다.
FBI가 공격자 지갑을 식별한 방법 “모호”
미국의 사법당국이 어떻게 공격자의 지갑을 식별했는지는 정확히 알 수 없다. FBI 부국장 폴 아바테는 브리핑 중에 “FBI는 지난해부터 러시아에 본부를 둔 사이버범죄 조직인 다크사이드를 조사하고 있다”며, “다크사이드는 FBI가 조사 중인 확인된 피해자 90명에게 영향을 미치는 100개의 랜섬웨어 변종 가운데 하나일 뿐이다”라고 말했다. 아바테는 “우리는 다크사이드 행위자가 사법당국을 사칭해 피해자로부터 대금을 받아내기 위해 사용하는 가상 화폐 지갑을 식별했다. 피해 자금이 지갑에서 압수되어 다크사이드 행위자가 사용하는 것을 막았다”라고 말했다. 하지만 작전이 어떻게 진행됐는지에 대한 자세한 내용은 밝히지 않았다.
압수영장 신청에 동행한 진술서에서 이름이 수정된 FBI 현장요원은 콜로니얼 파이프라인이 지난 5월 8일 몸값을 지불하기 위해 사용한 암호화폐 주소를 FBI에 통보했다고 밝혔다.
이를 통해 FBI는 비트코인 공개원장을 검토해 비트코인을 최종 압수한 지갑까지 추적할 수 있었다. 이 요원은 진술서에서 “지갑의 개인 키(Private keys)는 캘리포니아 북부 지역의 FBI가 소유하고 있다”라고 말했다. 비트코인을 잠금 해제하고 전송할 수 있는 256비트 비밀번호인 개인 키는 암호화폐가 익명으로 안전하게 유지되는 핵심 구성 요소다.
FBI가 다크사이드 공격자의 개인 키를 획득한 방법은 사법당국이 그 돈을 다시 추적하고, 향후 다른 랜섬웨어 공격자의 경제적 이익을 제거할 수 있는지 여부를 결정하는 데 매우 중요하다.
지갑 압수에 대한 FBI 언론 보도에 따르면, FBI는 공격자들에게 정보를 주지 않으려고 개인 키를 획득한 방법에 대해 고의적으로 모호하게 표현했다. 한 요원에 따르면, FBI가 사용한 방법은 ‘복제 가능(replicable)’한 것으로, 이는 당국이 다음 랜섬웨어 공격자에 대해서도 사용할 수 있다는 것을 의미한다. 또한 FBI는 MSTIC(Microsoft Threat Intelligence Center)로부터 지갑을 압수하는 데 상당한 도움을 받았다고 밝혔다.
가상화폐 지갑을 확보하는 3가지 시나리오
미 사법당국이 지갑을 확보한 방법에 대해서는 다음과 같은 3가지 시나리오가 있다. 가상통화 기업인 오버플로우 랩스(Overflow Labs)의 CISO 애드리안 베드나렉은 “FBI의 문서는 많은 추측을 불러 일으키지만, 확실한 것은 그들이 해커 그룹의 개인 키와 이와 관련된 63.7 비트코인을 소유했다는 것이다”라고 말했다. 베드나렉은 3가지 시나리오 가운데 하나가 FBI가 해커의 개인 키를 획득한 방법일 것이라고 추측했다.
첫 번째 시나리오는 다크사이드의 잘못된 운영 보안으로 인해 FBI는 랜섬웨어 지불을 수집하는 데 사용된 모든 컴퓨팅 장치의 물리적 위치를 발견했다는 것이다. 이 장치를 압수해 다크사이드의 개인 키를 포렌식으로 되찾게 됐다. 이 가설은 서버에 대한 통제력을 잃었다는 다크사이드의 5월 중순 진술과 맞아 떨어진다.
베드나렉은 “가능성이 낮은 또 다른 두 번째 시나리오는 다크사이드 내부자가 FBI와 협력해 개인 키를 넘겨주는 계약을 체결한 것”이라고 말했다.
베드나렉의 세 번째 시나리오는 FBI가 다크사이드가 사용하는 운영체제나 소프트웨어(또는 둘다)에서 비공개 제로데이 익스플로잇을 사용해 다크사이드 컴퓨팅 장치의 실제 인터넷 프로토콜(IP) 주소를 공개하고 ISP와 협력해 물리적 위치를 파악하거나, 악성코드를 실행해 포렌식으로 비트코인 개인 키를 복구했다는 것이다.
베드나렉는 “이전 경험을 비춰볼 때, FBI는 적들이 사용하는 소프트웨어의 익스플로잇을 발견하기 위해 전문 업체를 찾아 고용한다”라고 덧붙였다.
모나코는 이번 조치가 미국 정부가 랜섬웨어 공격과 관련해 암호화폐를 압수한 것은 처음이 아니라고 밝혔다. 지난 1월 미 사법당국은 넷워커(NetWalker) 랜섬웨어 공격자에 대한 강력한 공세로 몸값인 암호화폐 약 45만 4,530달러를 압수한 바 있다.
콜로니얼 파이프라인의 협력, 다른 피해 기업의 FBI와의 협력 장려
콜로니얼 파이프라인은 FBI와 협력해 지갑을 압수할 때, 현장 수사관과 검사와 지식을 공유했음을 인정했다. 콜로니얼은 성명을 통해 “5월 7일 콜로니얼이 공격을 받았을 때 우리는 조용하고 신속하게 애틀랜타와 샌프란시스코에 있는 FBI 현지 사무실과 북부 캘리포니아와 워싱턴 DC에 있는 검사들에게 연락해 당시 우리가 알고 있는 내용을 공유했다”라고 밝혔다. FBI는 이번 성공적인 압수로 인해 다른 랜섬웨어 피해자들이 랜섬웨어 공격자들의 재정적 이익을 빼앗기 위해 사법당국과 협력하기를 기대하고 있다. 모나코는 “우리가 보내는 메시지는 피해 기업이 사법당국과 협력한다면 범죄 행위자들이 범죄 계획에서 추구하는 금전을 빼앗는 조치를 취할 수 있다는 것이다”라고 밝혔다.
모나코는 “콜로니얼 파이프라인 공격은 국가에서 가장 중요한 인프라에 대한 공격이었다. 이 공격에 대한 대응은 FBI 랜섬웨어 태스크포스로 대표되는 정부의 신속한 대응과 이런 유형의 범죄 네트워크와 그 계열사들이 사용하는 랜섬웨어 범죄 생태계 전체를 추적하겠다는 우리의 의지를 대변하는 것이다”라고 덧붙였다.
랜섬웨어 공격자, 익명 유지 위해 더 많은 작업 필요
미 사법당국이 랜섬웨어 생태계를 성공적으로 약화시켰는지 여부에 관계없이, 이번 조치는 사법당국이 랜섬웨어 공격자를 추적할 수 있음을 나타내며 이는 필연적으로 사이버범죄자의 행위를 강제하고 있다. 인터넷에서 익명을 유지하는 것은 매우 어렵고 세부 사항에 세심한 주의를 기울여야 한다. 베드나렉은 “추적 방법이 무수히 많기 때문에 온라인 상에서 익명을 유지하기가 매우 어렵다. 특히 암호화폐를 몸값으로 요구하는 랜섬웨어 공격을 지휘할 때는 더욱 그렇다”라고 말했다.
캘리포니아 북부지방검사대행 스테파니 하인즈는 미 법무부의 언론 브리핑에서 "대금을 익명으로 처리하려는 새로운 금융 기술은 범죄자들이 열심히 일하는 시민들의 주머니를 털도록 허락하는 수단을 제공하지 않을 것이다. 이번 사건은 범죄자들이 새로운 지불 방법을 부당한 이익을 위한 강탈의 도구로 전환하는 것을 방지하려는 우리의 결의를 보여준 것이다”라고 밝혔다. editor@itworld.co.kr