“강력해지는 방패에... 위협 행위자, 사이버 범죄 방향 틀었다”

사이버 범죄자가 전 세계 디지털 인프라에서 랜섬웨어 공격, 사기, 노골적인 절도를 아무 거리낌 없이 자행하고 있는 것처럼 보일 수 있다. 하지만 작년 한 해 동안 미국과 전 세계 당국은 암호화폐 투자 사기에서 1억 1,200만 달러를 압수하고, 하이브(Hive) 랜섬웨어 그룹을 붕괴시켰으며, 온라인 불법 마약 시장을 해체하고, 암호화폐 자금 세탁업자를 제재하는 등 인터넷 범죄를 단속하는 다양한 활동을 펼쳤다. 
 

 

익명성이 보장되지 않는 암호화폐

랜섬웨어 및 기타 디지털 범죄의 증가를 부추기는 가장 중요한 요인은 바로 암호화폐다. 위협 행위자는 암호화폐를 자신의 악행을 숨기는 일종의 투명 망토로 간주해 왔다. 물론 블록체인 거래가 익명의 주소를 제공하긴 하지만, 모든 거래가 공공원장에 영구적으로 기록되기 때문에 수사관은 거래의 처음부터 끝까지를 추적할 수 있다. 

와이어드(Wired)의 기자이자 최근 암호화폐 범죄 추적에 관한 책을 쓴 앤디 그린버그는 사이버 범죄 관련 컨퍼런스 슬루스콘(Slethcon)에서 “사실 금융 감시에 대한 이 해독제는 오늘날의 금융 감시에서 최악의 함정으로 판명됐다. 초창기 익명성이 보장된다고 잘못 생각했던 인터넷과 마찬가지로, 암호화폐에도 진정한 익명성이란 존재하지 않는다. 비트코인은 금융 프라이버시를 원하는 모든 사람과 모든 사이버 범죄자를 유혹하지만, 많은 경우 법 집행 기관이 블록체인을 따라 추적할 수 있도록 하는 일종의 함정 역할을 해왔다”라고 말했다. 
 

증가하는 압박 속 위협 행위자의 ‘방향 전환’

체인애널리시스(Chainalysis)의 사이버 위협 인텔리전스 책임자 재키 번스 코벤은 최근 잇따른 법 집행 기관의 단속, 우크라이나 전쟁, 보험 회사의 압박, 탐지 소프트웨어의 성능 향상, 몸값 지불을 거부하는 경향으로 랜섬웨어 수익이 2021년 7억 5,660만 달러에서 2022년 4억 5,680만 달러로 감소했다고 밝혔다. 

“그 결과 위협 행위자는 성공 확률이 높은 범죄로 방향을 틀고 있다. 금전을 갈취하는 대신 데이터나 액세스 권한을 판매하는 이유다. 에베레스트(Everest) 랜섬웨어 그룹은 암호화 없이 액세스 권한이나 데이터 강탈만을 시도했다”라고 코벤은 설명했다. 

최근 증가하고 있는 사이버 범죄 활동은 크립토재킹, 즉 피해자의 컴퓨터 성능을 몰래 사용하여 화폐를 생성하는 것으로, “이는 지속적인 액세스를 위한 훌륭한 발판”이라고 코벤은 언급했다. 이어 “크립토재킹은 또한 매우 훌륭한 불로소득이다. 한 암호화폐 채굴 키트 업체의 지갑을 살펴본 결과, 암호화폐의 약세장에도 지속적인 수입이 들어오는 것을 확인할 수 있었다. 실제로 이런 유형의 서비스 시장이 점점 더 커지고 있다”라고 덧붙였다. 

코벤은 피해자와 친밀감과 신뢰를 쌓은 후 돈을 훔치는 로맨스 스캠과 돼지 도살 스캠(pig butchering; 초기에는 돈을 불려줘 안심시킨 뒤 이후 투자 규모를 높여 거액을 가로채는 수법)이 기존 사기 수법을 대체하고 있으며, 암호화폐 가격 하락과 반비례해 증가했다고 전했다. 
 

매트리스 밑에 돈 숨기기 

사이버 범죄자는 자금 추적을 모호하게 만드는 암호화폐 믹서(crypto-mixer)에 대한 강화된 조치로 암호화폐를 현금화하는 데 어려움을 겪고 있다. 코벤은 “사이버 범죄자는 결국 상트페테르부르크에 있는 사무실 비용을 내기 위해 그리고 람보르기니를 사기 위해(편집자 주: 비트코인 가격이 치솟으면서 비트코인으로 언제쯤 람보르기니를 살 수 있겠느냐는 말이 유행어처럼 쓰였다) 현금을 인출해야 하고, 거래소를 찾아야 할 것이다”라고 말했다. 

코벤에 따르면 사이버 범죄자는 매트리스 밑에 돈을 숨겨두는 것처럼, 돈 위에 앉아있다. “위협 행위자에게는 격동의 2년이었다. 법 집행 기관의 단속이 많아졌고, 운영 환경이 까다로워졌으며, 자금 확보가 어려워졌다. 그래서 아무것도 하지 않고 그냥 앉아만 있는 자금 세탁 기법이 목격되고 있다”라고 덧붙였다. 

코벤은 이런 증가하는 도전 과제에도 “위협 행위자가 랜섬웨어에서 대량 이탈하진 않을 것”이라면서, “랜섬웨어 업계에서 완전히 철수하기보다는 전술을 바꾸고 있다”라고 진단했다. 

이어 사이버 범죄자가 계속 활동할 수 있는 또 다른 이유는 피해자가 법 집행 기관에 신고하기를 꺼린다는 점이라고 지적했다. “피해자가 사기를 당했거나 몸값을 요구받았다는 사실을 신고해야 한다. 돼지 도살 스캠도 이런 신고 문제를 겪을 수 있다고 본다. 창피하기 때문이다. 피해자가 누군가에 의해 조종당했다는 것은 가슴 아픈 일이다. 그래서 많은 사건이 법 집행 기관에 신고되지 않고 있다”라고 전했다. 
 

종합적인 사이버 범죄 패턴의 중요성 

코브웨어(Coveware)의 인시던트 대응 책임자 리지 쿡슨은 사이버 범죄자를 추적하고 식별하는 일이 단순히 돈을 추적하는 것 이상의 의미가 있다고 언급했다. “최적의 어트리뷰션 분석을 시각화하는 방법은 포렌식, 협상 대화 분석, 위협 후 행동, 자금 추적의 패턴을 결합한다. 이런 버킷 중 하나에만 의존할 수 없다. 모든 버킷에서 가능한 모든 것을 수집하고 총체적인 패턴을 비교해야 한다”라고 강조했다. 

쿡슨은 국제 사이버 범죄 네트워크 에빌 코프(Evil Corp)와 겹치는 도플 페이머(Doppel Paymer) 랜섬웨어 그룹을 예로 들었다. “동일한 거래소에서 통합, 지갑, 믹싱 서비스 및 일반 화폐 계정과 관련된 중복을 관찰했고, 여기서 자금 추적이 끝났다. 믹싱 서비스와 통합 계정 사용은 흔한 일이지만, 이런 특정 서비스의 조합이 반복적으로 사용되는 것은 매우 이례적이다. 이 발견은 주요 특이점이었고, 그 결과 2020년 12월 내부적으로 도플 페이머 지불을 제한하게 됐다”라고 설명했다. 
 

사이버 범죄라는 안개 속 헤쳐 나가기

보안 연구진이 사이버 범죄자를 추적할 때 직면하는 어려움은 모호한 경계, 중복되는 전술·기법·절차(TTP), 알 수 없는 출처의 범죄 집단을 파악하는 것이다. 맨디언트 인텔리전스(Mandiant Intelligence)의 어드밴스드 프랙티스 팀의 수석 위협 애널리스트 제이크 니카스트로는 위협 행위자 ‘옥타퍼스(Oktapus; ID 및 액세스 관리 업체 옥타(Okta)를 표적으로 삼아 붙여진 이름)’와 연계돼 있을 가능성이 있는 미분류 위협 행위자 또는 UNC로 알려진 5~6개 그룹의 활동을 분석하는 과정에서 겪은 어려움을 언급했다.  

아울러 보안 업체가 위협 그룹에 적용하는 다양한 이름 때문에 상황이 혼란스러워지고 있다. 예를 들면 크라우드스트라이크는 옥타퍼스를 ‘스캐터드 스파이더(Scattered Spider)’라고 부른다. 상황을 더 혼란스럽게 만드는 것은 니카스트로가 추적하던 그룹과 겹치는 그룹이 2022년에 해체됐다가 이후 부활한 랩서스(Lapsus) 그룹과 연계돼 있을 수도 있고, 아닐 수도 있다는 점이다. 니카스트로는 싱어송라이터 올리비아 로드리고의 가사를 인용해 “이 모든 UNC로 인해 여긴 너무 잔인하다”라고 말했다. 

니카스트로는 사이버 보안 전문가가 이 혼란스러운 상황을 바로잡지 못하는 것이 심각한 문제라고 지적했다. “특히 다른 클러스터에서 ‘이건 다른 그룹처럼 느껴진다. 하지만 백업할 데이터는 없다. 그래도 이 그룹인 것은 확실하다’라는 상황이 발생하면 무엇이 그룹을 정확하게 정의하는지 구분하기 정말 어려워진다”라고 전했다. 

프루프포인트(Proofpoint) 소속 위협 연구팀의 수석 위협 인텔리전스 애널리스트 셀라나 라슨은 이런 불안정성이 사이버 범죄 환경의 특징이라고 언급했다. 라슨은 작가 마이클 크라이튼의 말을 인용하면서, “살아있는 시스템은 결코 평형 상태에 있지 않다. 본질적으로 불안정하다. 안정된 것처럼 보일지 몰라도 그렇지 않다. 모든 것이 움직이고 변화하고 있다. 어떤 의미에서는 모든 것이 붕괴 직전에 있다. 사이버 범죄 환경에서 전반적으로 보는 것도 그러하다”라고 말했다. 
editor@itworld.co.kr