기업 돈 뜯어내는 해커들, 배후엔 뒷짐 진 러시아가 있다

[이코노미 인사이트]
[FOCUS] 해커 장인이 러시아 보안국 출신

러시아 연방보안국 간부 출신의 에두아르드 벤더스키(맨 오른쪽)는 미국 정부가 현상금 500만달러를 건 국제 해커 막심 야쿠베츠의 장인이다. 야쿠베츠와 벤더스키의 딸 결혼식에서 벤더스키가 박수를 치고 있다. RadioFreeEurope 누리집

사용자를 협박하는 랜섬웨어 트로이목마를 이용한 범죄 사업이 번창하고 있다. 기업뿐 아니라 기업의 고객도 트로이목마의 희생양이 되고 있다. 대다수 트로이목마의 배후는 러시아에 있다. 미국 정부는 오래전부터 사용자를 협박하는 트로이목마의 위협을 테러리즘으로 간주하고 있다.

2022년만큼 독일 세입자들이 주택관리 비용에 관심 가졌던 적은 없을 것이다. 하지만 7월 말 세입자들은 에너지 배송업체 이스타(ISTA)에서 에너지 사용량을 확인할 수 없었다. ISTA 소비자 포털은 마비 상태였고, 세입자가 아무리 ISTA에 전자우편을 보내도 모두 되돌아왔다. 연매출 10억유로(약 1조3천억원) 규모의 기업 ISTA가 그냥 이렇게 사라져버린 걸까? ISTA 누리집에는 “상당한 기술 오류로 전화와 전자우편이 불가하다”는 공지가 올라왔다.

ISTA는 사이버공격의 희생양이었다. 해커는 악성소프트웨어로 ISTA 정보기술망에 침투해 내부 데이터를 복사하고 암호화하는 방식으로 ISTA가 내부 데이터에 접속하지 못하도록 했다. 미국의 한 여성 블로거가 해커로부터 입수한 내부 채팅 기록에 따르면 ISTA는 내부 정보 유출을 막기 위해 해커에게 100만달러(약 13억원) 이상을 제안했다.

그러나 해커는 100만달러로도 성이 차지 않았던 모양이다. 결국 해커는 ISTA의 고객 정보를 포함해 내부 정보를 해커들의 다크넷 웹사이트에 올렸다. ISTA의 독일 누리집에는 해커의 협박성 문장만 띄워져 있었다. “전체 정보를 곧 공개할 예정.” ISTA는 이른바 랜섬웨어 그룹의 공격을 당했던 것이다.

몸값 안 내면 내부 정보 공개

ISTA 고객 포털은 계획대로 신속하게 복원됐다고 ISTA는 전한다. ISTA는 고객이 한 명도 빠짐없이 정확한 에너지 사용량을 제공받고 정보 유출 피해자에게는 개별 연락이 갈 것이라고 공지했다. ISTA는 랜섬웨어 공격을 감행한 ‘범죄 집단’이 올린 정보는 부정확하다고도 주장했다.

몸값을 의미하는 랜섬(Ransom)과 소프트웨어(Software)를 합친 말인 랜섬웨어(Ransomware)는 오래전부터 독일 경제에 최악의 디지털 위험 요소였다. 기업에 랜섬웨어는 사전에 막기 힘든 악몽이다. 직원이 클릭을 두 번만 잘못해도 기업 내부 정보기술(IT) 접속이 차단될 수 있는 것이 랜섬웨어다. 그러면 해당 기업은 아무것도 할 수 없는 무방비 상태가 돼버린다. 랜섬웨어 공격으로 회사 컴퓨터 화면에는 해커의 메시지만 뜰 때도 있다.

반면 사이버범죄자에게 랜섬웨어는 위험이 적으면서 큰 수익을 낼 수 있는, 완벽에 가까운 범죄다. 수사당국에 따르면 적잖은 해커가 러시아에 기반하고 있으며, 러시아 당국은 해커들의 활동을 짐짓 못 본 척한다.

해커들은 랜섬웨어 복구에 천문학적 금액을 요구하고, 이렇게 번 돈으로 신규 인력과 신규 악성 소프트웨어를 구매한다. 기업들은 랜섬웨어라는 범죄 사업에 무방비로 노출돼 있다.

많은 기업이 내부 데이터를 암호화해버리는 랜섬웨어에 대비해 백업 개선 등 대책을 세웠지만 이도 부분적으로 도움이 될 뿐이다. 해커에게 몸값을 내지 않는 기업은 내부 정보가 무자비하게 공개돼버린다. 이 중에는 민감한 고객 정보도 포함돼 있기 일쑤다. <슈피겔>은 랜섬웨어 해커들의 다크넷 웹사이트 표본조사에서 독일 신분증과 운전면허증 사본, 기밀 계약서, 금융당국과 주고받은 전자우편 등을 확인했다.

무역망, 에너지 공급 업체, 가스관 운영 업체, 건설회사 및 렌트카 업체 등 경제 전반이 랜섬웨어 공격에 전방위로 피해를 보았다. 공공부문조차 랜섬웨어 공격에 취약하다. 안할트비터펠트 등 지자체 행정, 일선 병원, 심지어 경찰도 랜섬웨어 공격으로 수개월 동안 마비됐다. 몬테네그로, 코스타리카 등의 국가도 최상위 행정기관을 포함해 랜섬웨어 공격을 피해가지 못했다.

독일 보안당국도 마찬가지로 비상 상황이다. 홀거 뮌흐 연방범죄수사청장은 랜섬웨어로 인한 2021년 총피해액을 243억유로로 집계한다. 하지만 실제 랜섬웨어의 문제는 단순 수치가 보여주는 것 이상으로 훨씬 크다. 랜섬웨어 공격을 받은 기업들의 극히 일부만 사이버공격을 신고하기 때문이다. IT 보안업체 소포스(Sophos)가 IT 전문가 수천 명에게 한 설문조사에 따르면, 2021년 랜섬웨어 피해자의 절반가량은 해커들이 요구한 돈을 냈다. 랜섬웨어 해커들이 요구한 몸값의 평균은 약 81만2천달러(약 10억7천만원)였다. 그나마 이 정도 금액이 적잖은 기업에 정보 손실이나 기업 데이터 공개보다 나은 편이다.

미국 연방수사국(FBI)이 배포한 수배 전단에 나와 있는 러시아의 국제 해커 막심 야쿠베츠. FBI/ REUTERS

정부와 민간 해커 경계 흐려져

미국 수사당국에 따르면 기업이 해커에게 지급한 몸값은 러시아인 막심 야쿠베츠 같은 사람들의 주머니로 들어간다. 야쿠베츠는 불법으로 갈취한 돈을 자신의 소셜미디어 계정에서 떠벌리며 자랑할 만큼 조심성이 없다. 야쿠베츠의 해커 이름 중 하나인 ‘아쿠아’(Aqua)와 그의 동료 해커들이 튜닝된 고급차로 교통체증이 심한 도로에서 마치 곡예하듯 아슬아슬 주행하고, 주차장에서 타이어에 연기가 날 정도로 뱅글뱅글 돌면서 주차하는 모습을 담은 영상이 그의 소셜미디어 계정에 올라와 있다. 이 영상에 비친 주차장에는 특수 코팅된 람보르기니와 아우디가 한 대씩 주차됐다. 해커들이 이국적으로 생긴 고양이들과 새끼 사자까지 키우는 모습도 영상에 나온다.

야쿠베츠는 제임스 본드 영화의 전형적인 악인을 연상시킨다. 그는 자기 부의 근원을 숨기려는 노력도 굳이 하지 않는다. 그의 으리으리한 고급차의 차량번호판에는 러시아어로 ‘도둑’을 의미하는 ‘Bop’가 쓰여 있다. 야쿠베츠가 속한 해커 단체는 자신을 악한 기업이라는 의미의 ‘이블 코프’(Evil Corp)라고 부른다. 이블 코프는 (금융정보를 빼내기 위해) 전통적인 뱅킹 트로이목마를 성공적으로 개발했고, 다양한 랜섬웨어 프로그램을 사용했다. 야쿠베츠와 동료 해커들은 지난 10년 이상 전세계 40개국 이상에서 수천 명에게 1억달러 이상 피해를 준 것으로 알려졌다. 미국 정부는 야쿠베츠에게 현상금 500만달러를 걸었다.

영국 <비비시>(BBC) 방송은 최근 야쿠베츠의 아버지와 짧은 인터뷰를 하는 데 성공했다. 그는 아들이 사이버범죄자라는 사실을 부인했다. 또한 아들이 미국으로부터 기소당한 뒤 더 이상 아무런 접촉도 없었다고 주장했다.

야쿠베츠의 장인 에두아르드 벤더스키는 러시아 연방보안국(FSB)의 전직 특수요원으로, 현재 민간 보안업체를 운영하고 있다. 연방보안국 부서 대변인으로 공식 석상에 모습을 드러내기도 한다. 이뿐만 아니다. 2019년 8월 베를린 도심 한복판의 티어가르텐에서 발생한 체첸 출신 반러시아 인사에 대한 살인 혐의로 러시아 국적 남성이 기소됐다. <슈피겔>과 영국 온라인 탐사매체 <벨링캣>(Bellingcat)의 취재에 따르면 벤더스키는 이 남성과 살해사건이 일어나기 전 정기적으로 밀접한 연락을 해온 것으로 드러났다.

노련한 연방보안국 요원 출신인 벤더스키가 사위의 범죄행위를 몰랐을 가능성은 전혀 없다. 러시아 기반 해커들이 사이버범죄 행위를 일부 서구 국가에서 저지를 경우, 러시아 당국은 보통 못 본 척해준다. 장인 벤더스키와 사위 야쿠베츠 간에도 러시아 당국의 이런 관행이 적용된 정황이 적지 않다. 여기에는 대가가 따른다. 러시아 정부는 사이버범죄자들의 범죄행위를 눈감아준 대가로 특수 미션에 ‘지원’을 요구하기도 한다.

러시아 정부 차원에서 양성된 해커와, 정부와 전혀 관련 없는 해커 사이의 경계가 눈에 띄게 흐릿해진다고 독일연방헌법수호청의 지난 젤렌 부청장은 지적한다. 러시아 정부가 해커 범죄 조직에 눈감아주는 사실을 연방헌법수호청은 오랜 기간 확인했다. 해커 범죄 조직이 아무런 제재 없이 활개 칠 수 있는 것에 “러시아 정부 기관이 이제 대가를 요구하고 있다”고 한다.

2022년 초만 해도 랜섬웨어와의 전쟁에서 간간이 승전보도 들렸다. 러시아 연방보안국은 악명 높은 레빌(REvil) 랜섬웨어 조직의 소속으로 보이는 해커 14명을 체포하기도 했다. 해킹 장면이 촬영된 영상은 인터넷에 공개됐다. 레빌은 스웨덴에서 슈퍼마켓을, 독일에서는 IT 업체 최소 3곳, 뉴질랜드에서는 여러 학교와 유치원을 해킹으로 마비시켰다. 레빌은 랜섬웨어로 감염시킨 (브라질의) 육류기업 JSB에 비트코인으로 1100만달러를 내놓으라고도 협박했다. 러시아 당국은 레빌 소속 해커들을 체포하는 과정에서 4억2600만루블(약 500만유로, 약 67억원), 60만달러, 50만유로, 고급 자동차 20대를 압수했다.

그러나 벌써 다시 레빌 랜섬웨어 조직이 활개를 치면서 돌아다니는 것으로 보아 시끌벅적한 체포도 별 영향을 미치지 못한 것으로 보인다. 당시 체포 작전은 러시아 연방보안국이 해커를 선발하려는 요식행위에 불과했다는 견해가 독일 보안당국 내에 있다. 미국 사법부 문서에서 드러나듯 이런 경우는 실제 있었다.

2022년 7월 해킹으로 모든 시스템이 멈춰섰던 독일 에너지 배송업체 이스타(ISTA) 누리집. 이스타(ISTA) 누리집

해커들 채팅 10만여 건 유출

러시아의 우크라이나 전쟁 발발 직후 러시아를 기반으로 활동하는 것으로 알려진 세계 최대 규모의 랜섬웨어 해킹 조직 콘티(Conti)가 내부에서부터 붕괴했다. 여기에는 러시아 당국의 개입이 전혀 없었던 것으로 보인다. 친러시아 성향 해커 조직 콘티는 400곳 이상의 기업과 기관을 공격해 2021년 한 해에만 1억8천만달러를 몸값으로 받아낸 것으로 알려졌다.

콘티의 붕괴는 우크라이나 전쟁을 둘러싼 내분 탓이다. 콘티는 러시아의 우크라이나 침공 직후인 2022년 2월 러시아 정부의 우크라이나 침공 지지 성명을 냈다. 이에 우크라이나를 지지하는 콘티 조직원들이 집단 반발했고, 이 과정에서 콘티 내부 채팅 메시지 10만여 건과 콘티 랜섬웨어의 핵심 프로그램 소스코드가 유출됐다.

이를 계기로 겉보기에 여느 기업처럼 운영되는 콘티의 내부 상황이 적나라하게 노출됐다. 콘티 내부 채팅 메시지에 따르면 과로에 시달리는 콘티 조직원들은 번아웃(소진)의 두려움을 호소했고, 서류 작업을 처리하기 위해 휴가를 신청한 조직원들도 있었다. 콘티 조직에 합류를 원하지만 누구에게 지원해야 하는지 모르는 지원자들과의 채팅 내용도 확인됐다.

또한 유출된 내부 채팅 메시지에는 콘티 피해자들로부터 몸값을 올려 받으려는 수단과 방법을 둘러싼 논의 내용도 고스란히 담겼다. 몸값 올려 받기를 주저하는 조직원이 너무 많다고 성토하는 채팅 메시지도 있었다. 랜섬웨어 공격을 받은 기관에는 “강경하게” 나가야 하고 “이들을 좀더 압박하고, 피해자를 애타게 하는 전화 통화를 더 많이 해야 하며, 피해기관의 파트너를 애먹이고, 언론 보도도 필요하다”는 내용도 나온다.

콘티 조직원 사이의 내분도 랜섬웨어 사이버범죄의 해결에 아무런 영향을 미치지 못했다. 콘티 내분 뒤 사이버범죄의 배후는 소규모 랜섬웨어 조직들로 분산됐고, 블랙바스타(Black Basta) 등 새 이름으로 랜섬웨어 공격을 지속해서 감행하고 있다.

핀란드 IT 보안업체 위드시큐어(WithSecure)의 추산치에 따르면, 랜섬웨어 범죄 조직은 초기부터 지금까지 수백 개 버전의 변형된 트로이목마를 만들어냈다. 또한 2021년 여름 이후에만 랜섬웨어 조직 스무 곳이 생겨났다. 랜섬웨어 신규 조직의 명칭은 디아볼(Diavol), 블랙캣(BlackCat), 데드볼트(DeadBolt) 등 코믹만화의 악당 이름처럼 들린다.

파트리크 보이트 Patrick Beuth <슈피겔> 기자 등 5명

번역 김태영 위원