2021.09.23

글로벌 칼럼 | 레빌 랜섬웨어 해독키를 공개하지 않았던 FBI의 속사정

Christopher Burgess | CSO
미국 연방수사국(FBI)이 러시아 기반 랜섬웨어 그룹 레빌(REvil)의 키를 보유하고 있었던 것으로 밝혀졌다. 사이버범죄자가 피해 기업의 데이터를 암호화하고 돈을 요구했음에도 FBI는 3주 동안 해독키를 공개하지 않았다. FBI는 어떤 의도로 레빌 랜섬웨어의 해독키를 감췄던 것일까. FBI가 보호하려던 것은 무엇일까.
 
ⓒ Getty Images Bank

22일(현지시간) 워싱턴 포스트의 보도에 따르면, FBI는 레빌 랜섬웨어의 해독키를 공개하기 3주 전에 이미 키를 비밀리에 입수했다. FBI 국장 크리스토퍼 레이는 최근 미국 의회 청문회에서 해독키 공개가 늦어진 이유에 대해 다른 기관 및 동맹국과의 협력 때문이라고 언급했다. 레이는 “미국 단독으로 결정하지 않고 공동으로 한다. 영향력을 최대로 이끌어내기 위한 굉장히 복잡한 의사결정 과정이며, 미국 뿐만 아니라 전 세계 자원을 모아야 하는 상황에서 적에게 대응하는 것은 시간이 걸린다”라고 말했다.

레이의 말에서 유추할 수 있는 것은 FBI가 해독키를 가지고 있었다는 사실이다. FBI는 ‘비밀리에 입수한’ 키를 어떤 기관이나 동맹국으로부터 받았는지 밝히지는 않았다. 다만 제3자 원칙(The Third-Party Doctrine)에 따라 ‘레빌을 잡기 위한’ 첩보 활동을 진행하는 데 활용했다. 제3자 원칙은 자발적으로 넘긴 정보에 대해서 수사기관이 영장 없이 수색하는 것을 허용한 미국 대법원 판례다.

싱크탱크인 실베라도 폴리시 액셀러레이터(Silverado Policy Accelerator) 회장 드미트리 알페로비치는 지난 21일 뉴욕타임즈 기고를 통해 “미국은 랜섬웨어의 인질이 됐다. 이제 반격해야 할 때”라며, 바이든 행정부에 외교와 방어 능력의 확대라는 두 가지 접근법을 제시했다.

알페로비치는 특히 레빌처럼 러시아나 북한, 이란에 기반을 둔 ‘강력한 랜섬웨어 그룹’에 대항하기 위해서는 공격력이 필요하다고 주장했다. 그는 “미국이 필요한 것은 랜섬웨어 단체의 기반이 되는 인력, 인프라, 자금을 겨냥한 공격적인 작전이다”라고 설명했다. FBI는 레빌의 기반을 뿌리뽑기 위한 작전을 시도한 것으로 보인다.


FBI의 레빌 잡기는 ‘실패’

랜섬웨어 공격의 몸값으로 피해 기업들이 레빌에 수백만 달러를 지불한 것은 사실이다. 일부 기업은 존폐 위기에 놓이는 굴욕을 겪기도 했다. 게다가 FBI의 작전이 끝나지 않은 상태에서 레빌은 지난 7월 13일 운영 중이던 다크 웹사이트 운영을 중단함으로써 FBI의 작전을 무산시켰다. 레빌이 사라지자 상황이 바뀐 것이다. 만약 FBI가 공격적인 작전을 통해 해독키를 확보한 것이 아니라면, 이를 일반에 공개하기에 앞서 최초 정보 제공자의 양해를 구해야 했을 것이다.


첩보전에서의 제3자 원칙

협력 국가 간 시차와 레빌이 끼친 전 세계적인 피해를 고려하면 FBI가 해독키를 공개하지 않았던 3주라는 의사결정 기간은 다소 길다고 생각할 수 있다. 하지만 모든 협력국이 출처의 민감성 혹은 관련자 규모에 대해 자세히 알지 못하는 상황에서 자국의 의견을 피력하는 것은 쉽지 않았을 것이다. 암호해독키를 보유하고 있다는 사실을 일방적으로 갑작스럽게 밝히면 키를 얻기 위해 활용했던 방법과 정보원이 위태로워질 수 있다. 따라서 FBI 연락 사무소나 해외 법률담당자가 늑장을 부렸다고 할 수도 없고, 출처를 보호하기 위한 관계가 복잡하게 얽혀 있는 상황에서 협력국 간 조율이 엄청나게 빨리 진행됐다고 말할 수도 없다.


레빌 랜섬웨어를 위한 복호 시스템

마침내 FBI는 해독키를 사이버보안 업체들에 제공했다. 사이버보안 업체는 FBI가 제공한 정보로 피해 기업의 암호화된 데이터를 풀기 위한 복호 시스템을 만들었다. 지난 20일 보안 업체 비트디펜더는 데이터 백업을 하지 않았거나 사이버보안 솔루션을 이용하지 않은 피해자도 사용할 수 있도록 복호 시스템을 배포했다. 이 시스템은 레빌 랜섬웨어에 걸린 2021년 7월 13일 이전의 모든 데이터셋에서 작동한다. 비트디펜더는 복호 시스템을 만들기 위해 ‘신뢰할 만한 법 집행 기관’과 공조했다고 밝혔으나 구체적인 기관명은 언급하지 않았다.

정리해보자. 서비스형 랜섬웨어를 제작·배포하는 범죄 조직에 대응하기 위한 정보의 출처와 자산 보호는 국제적인 가치 안에서 고려된다. 그렇기 때문에 은밀하게 입수된 정보를 대중에 공개하기까지는 시간이 걸릴 수밖에 없다. editor@itworld.co.kr


2021.09.23

글로벌 칼럼 | 레빌 랜섬웨어 해독키를 공개하지 않았던 FBI의 속사정

Christopher Burgess | CSO
미국 연방수사국(FBI)이 러시아 기반 랜섬웨어 그룹 레빌(REvil)의 키를 보유하고 있었던 것으로 밝혀졌다. 사이버범죄자가 피해 기업의 데이터를 암호화하고 돈을 요구했음에도 FBI는 3주 동안 해독키를 공개하지 않았다. FBI는 어떤 의도로 레빌 랜섬웨어의 해독키를 감췄던 것일까. FBI가 보호하려던 것은 무엇일까.
 
ⓒ Getty Images Bank

22일(현지시간) 워싱턴 포스트의 보도에 따르면, FBI는 레빌 랜섬웨어의 해독키를 공개하기 3주 전에 이미 키를 비밀리에 입수했다. FBI 국장 크리스토퍼 레이는 최근 미국 의회 청문회에서 해독키 공개가 늦어진 이유에 대해 다른 기관 및 동맹국과의 협력 때문이라고 언급했다. 레이는 “미국 단독으로 결정하지 않고 공동으로 한다. 영향력을 최대로 이끌어내기 위한 굉장히 복잡한 의사결정 과정이며, 미국 뿐만 아니라 전 세계 자원을 모아야 하는 상황에서 적에게 대응하는 것은 시간이 걸린다”라고 말했다.

레이의 말에서 유추할 수 있는 것은 FBI가 해독키를 가지고 있었다는 사실이다. FBI는 ‘비밀리에 입수한’ 키를 어떤 기관이나 동맹국으로부터 받았는지 밝히지는 않았다. 다만 제3자 원칙(The Third-Party Doctrine)에 따라 ‘레빌을 잡기 위한’ 첩보 활동을 진행하는 데 활용했다. 제3자 원칙은 자발적으로 넘긴 정보에 대해서 수사기관이 영장 없이 수색하는 것을 허용한 미국 대법원 판례다.

싱크탱크인 실베라도 폴리시 액셀러레이터(Silverado Policy Accelerator) 회장 드미트리 알페로비치는 지난 21일 뉴욕타임즈 기고를 통해 “미국은 랜섬웨어의 인질이 됐다. 이제 반격해야 할 때”라며, 바이든 행정부에 외교와 방어 능력의 확대라는 두 가지 접근법을 제시했다.

알페로비치는 특히 레빌처럼 러시아나 북한, 이란에 기반을 둔 ‘강력한 랜섬웨어 그룹’에 대항하기 위해서는 공격력이 필요하다고 주장했다. 그는 “미국이 필요한 것은 랜섬웨어 단체의 기반이 되는 인력, 인프라, 자금을 겨냥한 공격적인 작전이다”라고 설명했다. FBI는 레빌의 기반을 뿌리뽑기 위한 작전을 시도한 것으로 보인다.


FBI의 레빌 잡기는 ‘실패’

랜섬웨어 공격의 몸값으로 피해 기업들이 레빌에 수백만 달러를 지불한 것은 사실이다. 일부 기업은 존폐 위기에 놓이는 굴욕을 겪기도 했다. 게다가 FBI의 작전이 끝나지 않은 상태에서 레빌은 지난 7월 13일 운영 중이던 다크 웹사이트 운영을 중단함으로써 FBI의 작전을 무산시켰다. 레빌이 사라지자 상황이 바뀐 것이다. 만약 FBI가 공격적인 작전을 통해 해독키를 확보한 것이 아니라면, 이를 일반에 공개하기에 앞서 최초 정보 제공자의 양해를 구해야 했을 것이다.


첩보전에서의 제3자 원칙

협력 국가 간 시차와 레빌이 끼친 전 세계적인 피해를 고려하면 FBI가 해독키를 공개하지 않았던 3주라는 의사결정 기간은 다소 길다고 생각할 수 있다. 하지만 모든 협력국이 출처의 민감성 혹은 관련자 규모에 대해 자세히 알지 못하는 상황에서 자국의 의견을 피력하는 것은 쉽지 않았을 것이다. 암호해독키를 보유하고 있다는 사실을 일방적으로 갑작스럽게 밝히면 키를 얻기 위해 활용했던 방법과 정보원이 위태로워질 수 있다. 따라서 FBI 연락 사무소나 해외 법률담당자가 늑장을 부렸다고 할 수도 없고, 출처를 보호하기 위한 관계가 복잡하게 얽혀 있는 상황에서 협력국 간 조율이 엄청나게 빨리 진행됐다고 말할 수도 없다.


레빌 랜섬웨어를 위한 복호 시스템

마침내 FBI는 해독키를 사이버보안 업체들에 제공했다. 사이버보안 업체는 FBI가 제공한 정보로 피해 기업의 암호화된 데이터를 풀기 위한 복호 시스템을 만들었다. 지난 20일 보안 업체 비트디펜더는 데이터 백업을 하지 않았거나 사이버보안 솔루션을 이용하지 않은 피해자도 사용할 수 있도록 복호 시스템을 배포했다. 이 시스템은 레빌 랜섬웨어에 걸린 2021년 7월 13일 이전의 모든 데이터셋에서 작동한다. 비트디펜더는 복호 시스템을 만들기 위해 ‘신뢰할 만한 법 집행 기관’과 공조했다고 밝혔으나 구체적인 기관명은 언급하지 않았다.

정리해보자. 서비스형 랜섬웨어를 제작·배포하는 범죄 조직에 대응하기 위한 정보의 출처와 자산 보호는 국제적인 가치 안에서 고려된다. 그렇기 때문에 은밀하게 입수된 정보를 대중에 공개하기까지는 시간이 걸릴 수밖에 없다. editor@itworld.co.kr


X