보안

랜섬웨어가 지하 경제를 운영하는 방법

Lucian Constantin | CSO 2021.09.06
랜섬웨어 범죄 집단은 전문화된 직원 역할, 마케팅 계획, 파트너 생태계, 심지어 벤처 캐피털 투자 등 합법적인 기업의 핵심 요소와 함께 전통적인 범죄 기업의 일부 특징을 채택하고 있다. 
 
ⓒ Getty Images Bank

최근 랜섬웨어 공격으로 원치 않은 관심이 집중되면서 올해 초 주요 사이버범죄 포럼은 랜섬웨어 관련 토론과 거래를 금지했다. 일부에서는 이 금지 조치가 랜섬웨어 집단의 조직력에 상당한 영향력을 미칠 수 있을 것이라 기대했지만, 오히려 사이버범죄자들의 활동을 더 어둠의 세계로 밀어넣을 뿐이며 보안업계와 연구원들이 이를 감시하기가 더 어려워졌다. 
  
포럼의 금지 조치 이후 수개월 동안 랜섬웨어 공격은 그 어느 때보다 강력하고 대담해졌다. 사실 랜섬웨어는 사이버범죄 경제의 생명줄이기 때문에 이를 근절하기 위해 미국 정부는 특단의 조치를 취하고 있다.

최근 랜섬웨어 공격 집단은 고도로 전문화되어 개발팀, 영업 및 홍보부서, 외부 계약업체, 서비스 제공업체 등으로 구성된 현대의 기업 구조와 유사하다. 이들은 심지어 피해자와 의사소통할 때 비즈니스 용어를 사용하기도 하는데, 데이터 암호 해독 서비스를 구매하는 피해자를 고객이라고 부른다. 

아카마이 보안 연구원인 스티브 라간은 본지와의 인터뷰에서 “랜섬웨어는 이미 모두가 잘 알고 있는 기업 구조를 형성하고 있다. 다만 범죄자들은 드라마 ‘기묘한 이야기’에서처럼 비즈니스 세계의 거꾸로 된 것 같은 더 어둡고 뒤틀린 평행 세계를 갖고 있다”라고 설명했다. 


랜섬웨어에 의존하는 지하 경제 

랜섬웨어 운영과 관련한 내용과 범죄 집단의 구성 방식을 살펴보면, 랜섬웨어가 사이버범죄 경제의 중심에 있음을 쉽게 알 수 있다. 랜섬웨어 범죄 집단이 고용하는 사람들과 기업을 비교하면 다음과 같다.
   
  • 파일 암호화 프로그램 작성(개발팀)
  • 결제 및 유출 사이트, 커뮤니케이션 채널 설정 및 유지 관리(IT 인프라 팀)
  • 포럼에 랜섬웨어 서비스 광고(영업팀)
  • 언론인과 소통하고 트위터에 메시지를 게시하고 블로그에 공지사항을 게시(홍보 및 소셜 미디어팀)
  • 몸값 협상(고객 지원팀)
  • 수익을 위해 피해자 네트워크에 대한 수동 해킹 및 횡적 이동을 수행해 랜섬웨어 프로그램 배포(계열사 또는 침투 테스터로 알려진 외부 계약자)

계열사는 트로이목마 프로그램이나 봇넷 또는 도난당한 자격 증명을 통해 이미 시스템을 해킹한 다른 사이버 범죄자로부터 네트워크에 대한 접근 권한을 구매하는 경우가 많다. 이런 서드파티를 네트워크 액세스 브로커(network access brokers)라고 한다. 계열사는 표적 정찰에 도움이 될 수 있는 도난당한 계정 정보나 내부 정보가 포함된 데이터를 구입할 수도 있다. 또한 스팸 이메일 서비스와 방탄 호스팅(Bulletproof Hosting)도 랜섬웨어 범죄 집단에서 자주 이용한다. 

즉, 랜섬웨어를 통해 직간접적으로 돈을 버는 사이버범죄 생태계에는 많은 이가 연관되어 있다. 따라서 이런 범죄 집단이 더 전문화되어 투자자, 관리자, 제품 마케팅, 고객 지원, 일자리 제공, 파트너십 등을 갖춘 일반 기업과 유사하게 운영되는 것은 자연스러운 변화로, 수년에 걸쳐 서서히 형성되고 있다. 
 
보안업체 인텔 471의 CISO인 브랜든 호프먼은 본지와의 인터뷰에서 “사이버범죄는 본질적으로 서비스 제공업체, 제품 제작자, 투자자, 인프라 제공업체가 있는 지하 경제가 됐다”며, “다만 공급자와 수요자가 서로 다른 경제를 형성하고 있다”라고 설명했다. 호프먼은 “자유시장 경제와 마찬가지로 다양한 유형의 서비스 및 제품 제공업체를 이용할 수 있기 때문에, 서비스와 제품 패키지를 제공하기 위해 서로 협력하고 비즈니스를 구축하는 것은 자연스러운 일이다. 범죄 집단이 이런 추세를 따라가고 있다고 확신하지만 이를 증명하기란 정말 어렵다”라고 덧붙였다. 

라간은 “수년 전부터 보안업계는 범죄자들이 소프트웨어 개발 라이프사이클을 갖고 있다는 것을 알고 있었다. 범죄자들은 마케팅, 홍보, 중간 관리자를 보유하고 있으며, 더 큰 수준의 범죄자에게 보고하는 하급 범죄자를 담당하는 사람들이 있다. 이는 새로운 것이 아니다. 단지 더 많은 사람이 이를 알게 되고, 전통적인 기업과의 유사점에 주목하고 있을 뿐이다”라고 말했다. 


시장 압력에 적응하는 랜섬웨어 범죄 집단 

수년 동안 랜섬웨어 공격은 많은 병원, 학교, 공공 기관, 지방자체단체, 심지어 경찰서까지 마비시켰지만, 5월 초 미국에서 가장 큰 정유 업체인 콜로니얼 파이프라인(Colonial Pipeline)에 대한 공격은 획기적인 사건이었다. 

다크사이드(DarkSide)라는 러시아 기반의 랜섬웨어 집단에 의한 공격으로 인해 콜로니얼 파이프라인은 57년 역사상 처음으로 전체 가솔린 파이프라인 시스템을 폐쇄했다. 페쇄 조치를 통해 랜섬웨어가 주요 제어 시스템으로 확산되는 것은 막았지만, 미국 동부 해안 전역에서 연료 부족 사태를 초래했다. 이 사건은 랜섬웨어가 주요 인프라에 미치는 위협을 부각시켜 언론과 정치계에서 광범위한 주목을 받았으며, 이런 공격을 테러의 한 형태로 분류해야 하는지 논쟁을 촉발했다. 

다크사이드 운영자들조차도 사태의 심각성을 파악하고 향후 사회적 영향을 피하기 위해 랜섬웨어의 해킹 및 배포를 실제로 수행하는 서드파티들을 위한 조정(moderation)을 도입했다고 발표했다. 하지만 이미 선을 넘은 상황이었다. 

사이버범죄 정보업체 플래시포인트(Flashpoint)에 따르면, 콜로니얼 사건 발생 며칠만에 러시아 최대 규모의 사이버범죄 포럼 가운데 하나인 XSS 관리자는 ‘홍보 과다’와 법 집행 위험도가 ‘위험 수준’이라며 XSS 플랫폼에서의 랜섬웨어 관련 활동을 전면 금지한다고 밝혔다. 
 
래빌(REvil)을 포함한 다른 유명 랜섬웨어 집단은 피해 상황을 통제하기 위해 의료, 교육 및 정부 기관에 대한 공격을 금지하는 유사한 규제 정책을 즉시 발표했다. 또한 2개의 다른 대규모 사이버범죄 포럼인 익스플로잇(Exploit)과 레이드(Raid)는 랜섬웨어 활동에 대한 금지 조치가 즉각 취해졌다. 
 
이 여파로 다크사이드는 블로그, 결제 서버, 비트코인 지갑 및 기타 공공 인프라에 대한 접근 권한을 끊고 운영을 중단할 것을 발표했으며, 호스팅 제공업체는 ‘법 집행기관의 요청에 따라 대응했다’고 주장했다. 한 달 후, FBI는 콜로니얼 파이프라인이 암호화된 시스템을 해독하고 정상 운영을 재개하기 위해 공격자에게 지불했던 440만 달러 어치의 암호화폐를 회수했다고 발표했다.

가장 인기있는 사이버범죄 포럼들이 랜섬웨어 활동을 금지한 것은 의미있는 발전이었다. 지난 수년 동안 이 포럼들은 랜섬웨어 집단이 계열사를 모집하는 주된 장소였기 때문이다. 이 포럼들은 사이버범죄자 간의 공개 및 비공개 커뮤니케이션 수단을 제공하며 당사자들이 서로를 모르는 상태에서 신뢰하지 않는 거래에 대한 자금 애스크로 서비스까지 제공해왔다. 

이번 금지 조치는 위협 행위자와 새로운 위협에 대한 정보를 수집하기 위해 이런 포럼을 감시하는 사이버보안 업계에도 어느 정도 영향을 미쳤다. 대부분의 사이버범죄 연구원은 이번 포럼 금지가 랜섬웨어 운영을 전반적으로 중단시키지 못한다는 것을 알고 있지만 일부는 범죄자들의 다음 행보에 대해 궁금해했다. 공격자들이 덜 인기 있는 포럼으로 이동할 것인지, 광고 및 제휴업체와의 커뮤니케이션을 위해 자체 웹사이트를 구축할 것인지, 아니면 재버(Jabber) 또는 텔레그램(Telegram)과 같은 실시간 채팅 프로그램으로 이동할 것인지 등에 대해서다.

라간은 “이 금지 조치로 인해 범죄자들을 다른 페쇄적인 곳으로 옮길 것이다”라고 예측했다. 라간은 “범죄자들은 활동을 그만두지 않을 것이다. 금지 조치를 통해 범죄자들은 일반인의 관심에서 벗어난 것이다. 나는 (이 플랫폼을 통해) 오랫동안 이들의 모집 방식이나 개발, 토론, 작업 중인 랜섬웨어 기능들을 볼 수 있었다. 이제 이것들이 사라졌다. 이제 많은 변화를 예측할 수 없을 것이다. 이는 첫번째 피해자가 공격을 받을 때까지 새로운 변종이나 추가된 기능에 대해 알 수 없다는 것을 의미한다”라고 분석했다. 

사고 대응 및 디지털 포렌식 업체인 리파르(LIFARS) 설립자이자 CEO 온드레이 크레헬에 따르면, 랜섬웨어 활동에 관련된 대부분의 행위자가 이미 2~3년 전부터 텔레그램과 스리마(Threema)의 비공개 그룹을 통해 커뮤니케이션하고 있었기 때문에 랜섬웨어 운영은 이번 금지 조치의 영향을 받지 않았다. 

크레헬은 본지와의 인터뷰에서 “이런 금지 조치는 포럼들의 마케팅 노력의 일환으로 설득력은 있었지만, 그들이 범죄 집단의 일부가 아님을 입증하기 위해서는 범죄 활동과 연관된 비트코인의 일부를 지불해야 할 것이다. 물론 랜섬웨어의 성장은 계속될 것이다”라고 예상했다.

 
사이버범죄자의 행보, ‘그만둘 것인가’, ‘다른 역할로 진화하는가’  

수 개월마다 한 번씩 유명 랜섬웨어 집단은 운영을 중단한다고 발표한다. 지난 달에는 어바돈(Avaddon)이었다. 그 전에는 다크사이드가, 그 전에는 메이즈(Maze)가 그러했다. 때로는 이 집단들은 해산하기로 결정하면서 아직 몸값을 지불하지 않았거나 백업 파일로 복구하지 못한 일부 피해자들에게 도움을 줄 수 있는 마스터 암호화 해독키를 공개하기도 했다. 하지만 이 집단의 배후 범죄자들은 실제로 랜섬웨어 생태계에서 사라지거나, 감옥에 가지 않았다. 이들은 다른 집단으로 이동하거나 역할을 변경했을 뿐이다. 예를 들어, 성공적인 랜섬웨어 운영 관리자에서 투자자로 전환하는 것이다. 

라간은 이를 전통적인 범죄자가 페이퍼컴퍼니를 이용해 돈을 거래하다가 주목을 받으면 곧장 해체하고 종적을 감추는 것에 비유했다. 라간은 “거의 똑같다. 다시 말하지만, 이는 전통적인 범죄 세계와 유사점이 많다. 둘 다 범죄 행위이지만 동시에 전통적인 범죄 조직은 페이퍼컴퍼니의 개념과 이를 악의적인 수단으로 사용하는 방법에 대해 너무 잘 알고 있다. 랜섬웨어와 악성코드 집단이 사용하는 것도 이와 같은 것이다”라고 설명했다. 

크레헬에 따르면, 랜섬웨어 집단의 수명은 일반적으로 약 2년이다. 랜섬웨어 집단은 지나치게 성공적이면 많은 관심을 받게 되며, 이를 해결하는 방법이 해당 집단을 해체하고 새로운 랜섬웨어 집단을 만드는 것임을 너무 잘 알고 있다. 일부 범죄자는 은퇴하고 다른 집단의 투자자가 될 수도 있지만, 이들 집단의 교류는 혼란을 야기하고 법 집행 기관이 모든 참가자들을 특정하는 데 어려움을 줄 수 있다. 

랜섬웨어의 ROI는 매우 뛰어나 사이버범죄자들이 랜섬웨어에 관여하지 않을 수 없다. 신용카드 절도나 은행 해킹 등 다른 형태의 사이버범죄 집단들이 랜섬웨어를 수익원으로 채택하거나 랜섬웨어 집단과 협력하기 시작한 것도 그 때문이다. 

라간은 “이 집단들은 다른 집단과 연합해 동맹을 맺었다. 말 그대로 비즈니스 세계의 인수합병과 비슷한 수준이다. 합류한 다른 집단에서 인재를 얻어 현재 자체 랜섬웨어를 개발 중이거나 제휴 프로그램을 받아 하나로 통합할 수도 있다”라고 말했다. 

호프먼은 “이 새로운 변종 가운데 일부가 오래된 그룹에서 유래한 것 같다”라고 덧붙였다. 메이즈, 레빌, 에그레고르(Egregor)의 사람들이 흩어져 아스트라로커(AstraLocker), LV와 같은 새로운 것들을 만들어낸다. 모두 연관이 있는 것은 아니지만, 새로운 집단과 오래된 집단 간에는 연관성이 많다. 

새로운 집단 가운데 일부는 비즈니스에 새로운 사람들을 모집하고 경험을 얻을 수 있는 플랫폼을 제공하는 목적도 있다. 집단이 목표를 달성하고 자체적으로 생존하게 되면, 일부 계열사는 좀 더 확립된 집단으로 발전한다. 

크레헬은 “좋은 전과를 갖고 공격 임무를 잘 수행했지만, 체포되지 않은 범죄자를 고용할 수 있는 생태계가 있다. 이 사람들은 이제 더 비싸지고 그들의 전문 지식이 범죄 이력서에 추가되어 범죄 집단으로부터 신뢰를 받고 있다. 또한 구성원이 집단을 자주 변경하는 경우도 있는데, 구글이나 페이스북, 혹은 사람들이 직업을 자주 바꾸는 일부 대기업과 거의 유사하다. 그래서 이런 이직은 끊임없다”라고 설명했다. 

 
정부 차원의 공격적인 조치가 가져올 여파 

사이버범죄자들은 랜섬웨어가 수익성이 높고, 그들 중 다수가 서구 기업으로부터 돈을 갈취해도 체포될 가능성이 낮은 러시아나 구소련 국가에 살고 있기 때문에 쉽게 포기하지 않을 것이다. 

러시아 또는 독립국가연합(CIS)에서 발생한 악성코드에는 종종 CIS 국가의 러시아어나 기타 언어를 사용하는 컴퓨터에 배포되지 않도록 하는 기본 점검 기능이 있다. 이는 악성코드 제작자와 사이버범죄자가 알고 있는 불문율이다. 자신의 지역 기업들을 공격하지 않는다는 것이다. 이를 통해 러시아는 자국민을 서구 국가에 인도하지 않으며, 현재 러시아와 서구 국가의 지정학적 상황을 고려할 때, 사이버범죄에 대한 법 집행 관련 협력이 확대될 가능성은 거의 없다. 

지난 7월, 조 바이든 미국 대통령은 블라디미르 푸틴 러시아 대통령과 대화를 나누면서 전 세계 1,000여 개 기업에 영향을 미친 또 다른 랜섬웨어 공격에 대한 협업을 낙관한다고 밝혔다. 하지만 동시에 미국은 이에 대한 보복으로 랜섬웨어 서버를 공격할 준비가 되어 있다고 암시하기도 했다. 이후 레빌 공격 배후 집단은 잠시 잠잠해졌고, 소프트웨어가 해킹되어 랜섬웨어를 전파하는 데 사용된 기업인 카세야(Kaseya)는 공개하지 않은 출처로부터 마스터 암호화 해독키를 받았다. 

향후 미국 외교 채널이 성과를 내지 못하고 러시아 사법기관이 자국내에서 범죄자를 처벌하지 않는다면, 이들 범죄 집단이 많은 피해자를 내기 전에 공격을 중단시키기 위한 좀 더 공격적인 접근이 필요할 수도 있다. 

라간은 “외국 정부는 랜섬웨어 집단을 잡고 있다고 말하면 그 뿐이다. 피해 기업이 할 수 있는 일은 아무것도 없다. 현재 기업들은 무한한 시간과 자원을 가진 적과 싸우고 있다. 이 공격자들은 기업을 공격할 것이며, 표적이 된 기업이 얼마나 보안을 잘하는지 상관없다. 이것이 범죄자들이 가지고 있는 현실적인 위협이며, 공포를 야기하는 원인이다. 하지만 문제는 다음에서 펼쳐진다. 제재와 정책, 이를 언급만 해도 지하세계는 난리가 났다. 하지만 실효성있는 집행이 없으면 어떻게 될까? 이런 법과 정책이 나왔는데, 이를 강제할 수단이 없다면 어떻게 될까? 강제력이 없다는 걸 아는 순간, 이 범죄자들은 더 강해져서 돌아올 것이다”라고 우려했다. 

사이버범죄자들은 제대로 준비되지 않은 회사와 싸우길 바랄 뿐, 정부와는 싸우기를 원하지 않는다. 호프먼은 “미국의 국가 사이버 인프라의 모든 힘이 사이버범죄 세계에 맞서게 된다면 사이버범죄에는 상당한 영향을 미칠 수 있다. 하지만 이로 인해 미국과 러시아 사이에 ‘사이버 전쟁’을 야기하게 될 수도 있다"라고 경고했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.