보험까지 들어 막는 랜섬웨어…뜯긴 몸값은 모스크바로 간다

[이코노미 인사이트]
[FOCUS] 가상화폐로 신속한 전달

러시아 모스크바 한복판에 있는 마천루 페더레이션타워(Federation Tower). 가상화폐 생태계 모니터링 업체 체이널리시스(Chainalysis)가 램섬웨어의 몸값을 역추적해보니 페더레이션타워에 있는 금융업체 7곳에 흘러 들어간 것으로 의심된다. 해커 조직 ‘이블코프’(Evil Corp)에 속한 막심 야쿠베츠와 그와 협력하는 해커 한 명이 이곳에 사무실 여러 곳을 운영하고 있다. REUTERS

고객사가 언제 해킹 공격을 받을지는 더 이상 보안업계의 관심사가 아니다. 보안업계의 관심은 고객사가 얼마나 자주 해킹당할 것인지다. 정보기술(IT) 보안업체 소포스(Sophos) 전문가들은 해커가 동일한 피해자를 두고 경쟁하며 싸움을 벌인 사례도 알고 있다. 한 자동차 하청업체에는 2022년 4월20일~5월15일 세 차례 걸쳐 서로 다른 랜섬웨어 조직 3곳이 침투해 몸값을 내라고 협박했다. 자동차 하청업체는 최초 해킹에서 불과 두 시간 만에 두 번째 해킹을 당했다.

해킹 공격의 대상은 대기업에 국한되지 않는다. 독일 보덴호수 근처에 위치한 엔지니어 사무실 에이치피이콘스탄츠(HPE-Konstanz)에는 40여 명이 일한다. 에이치피이콘스탄츠에 랜섬웨어는 단 한 번도 관심의 대상이 아니었다고 설립자 볼프강 호프만은 말한다. 호프만이 이탈리아에서 휴가를 보내다 맞은 ‘암흑의 날’까지는 말이다.

호프만은 어느 일요일 저녁, 이탈리아 피에몽의 휴가지에서 직원들 급여를 이체할 계획이었다. 하지만 갑작스레 자체 시스템에 전혀 접근할 수 없었다. “그런 일을 막상 당하니 당황스럽기 그지없었다. 무기력감 외에 달리 표현할 말이 없었다.”

당시 상황은 이제 전체적으로 드러났다. 해커는 호프만을 포함해 에이치피이콘스탄츠 직원 두 명의 접속 아이디와 비밀번호를 훔쳐내는 데 성공했다. 대부분의 해킹 공격은 피싱 사기로 시작된다. 해커들은 비밀번호를 훔쳐내 자신에게 관리자 역할을 부여하고 공격당한 기관의 보안 소프트웨어를 무력화한다. 그다음 단계부터는 해커들이 마음껏 활개를 칠 수 있다.

해커는 데이터를 내려받고 시스템을 암호화한다. 그리고 백업을 삭제한다. 하지만 에이치피이콘스탄츠의 경우 삭제된 백업이 호프만에게 동아줄이 됐다. 해커의 실수로 삭제된 백업을 복원할 수 있었다. 호프만은 결국 몸값을 내지 않았다. 그런데도 랜섬웨어 감염으로 그는 총 2만3천유로(약 3천만원)의 피해를 봤다. 업체 서버를 다시 정상화하는 데 한 달 이상이 걸렸다.

호프만은 전체 직원에게 전자우편으로 피싱 대처법을 교육할 계획이다. 전자우편과 첨부파일 대처에 풍부한 경험이 있다고 믿었던 호프만은 현재 전세계 국가 출신들로부터 쇄도하는 입사지원서에 곤혹스럽기 짝이 없다. “지원서 전자우편에 첨부된 PDF 파일을 열기 전에 이제는 두 번 고민한다.” 호프만은 랜섬웨어 보험 가입도 고민 중이다.

동시에 3곳에서 협박

랜섬웨어 보험은 피해자와 가해자 중 누구에게 도움이 되는가? 위르겐 라인하르트는 합법적 방식으로 랜섬웨어의 덕을 보는 극소수에 속한다. 라인하르트는 2015년부터 독일의 글로벌 재보험사 뮌헨리(Munich Re)의 사이버범죄 보험상품을 판매 중이다.

그는 초기에 12명 남짓과 함께 사이버범죄 보험상품을 판매했다. 이제 직원 수는 전세계적으로 130명에 이른다. 뮌헨리는 2021년 전세계에서 사이버범죄 보험상품 매출액이 92억달러였고, 2025년에는 221억달러에 이를 것으로 추산한다. 이는 기업들이 해킹에 노출될 위험이 점점 커짐을 의미한다.

다른 한편으로 랜섬웨어 보험은 해커의 공격 욕구를 부채질한다. 일부 랜섬웨어 조직은 보험에 가입한 기업만 일부러 공격한다. 한 해커는 콘티 내부 채팅 메시지에 “사이버범죄 위험에 대비해 보험에 가입한 기업이 있으면 해킹 조직은 호시탐탐 공격 시점을 기다린다”고도 적었다. “그러면 보험회사와 협상하게 되는가?”라고 채팅 상대방이 물었다. “아니, 그렇게는 진행하지 않아”라고 콘티 조직원은 답했다. “해킹이 발생할 경우 피해 기업이 보험으로 보장받는 최대 액수가 정해져 있고, 콘티는 기업에서 최대 보장액을 받아. 그게 전부야.”

실제 사이버범죄 보험금은 랜섬웨어 조직이 요구하는 몸값을 대신하는 일이 적지 않다. 대부분의 보험회사는 해커에게 몸값을 치르지 말라고 고객사에 권고하지만 결국 최종 결정은 피해 기업이 하는 것이다.

보험업체의 사업모델은 예방에 집중한다. 보험업체는 잠재고객의 사이버공격 대비 여부와 대비 방식을 검토한다. 그럼에도 기업이 해킹 공격에 속수무책으로 당하면 보험업체는 피해 최소화에 역량을 집중한다. 좋은 보험업체는 법적 지원 서비스를 제공하고 해커와의 협상 전문가, 피해 기업의 시스템을 다시 정상화하는 IT 전문가를 지원한다.

물론 이 정도 여력이 없어 아무런 보호를 받지 못하는 중소기업이 적지 않다. 보험사 알리안츠는 자체 피해를 최소화하기 위해 사이버 보험 신청의 절반은 거부하고 있다. 다른 보험사들은 여력이 없어 사이버범죄 보험업에서 완전히 철수했다.

대표 가상화폐인 비트코인. 해커들은 가상화폐로 ‘몸값’ 을 요구한다. REUTERS

민첩한 스타트업 같은 조직

독일에서 몸값을 요구하는 해커 조직과의 전쟁이 보통 비스바덴(연방범죄수사청 본부가 있는 헤센주의 주도)을 중심으로 이뤄진다. 수사관 280명을 지휘하는 연방범죄수사청의 카르스텐 마이비르트 사이버범죄팀장은 “수년 전부터 사이버범죄 위험이 커지고 있다”고 말했다. 러시아의 우크라이나 침공도 사이버범죄에 기폭제가 됐다.

현재 사이버범죄팀은 해커가 사용하는 150여 악성프로그램을 예의 주시하고 있다. 사이버범죄팀은 록빗(Lockbit), 콘티(Conti), 딥블루매직(Deepbluemagic) 등을 지난 몇 달간 특히 활동적이고 위협적인 랜섬웨어 조직으로 판단한다. “다수의 사이버범죄자는 동유럽과 러시아에 기반하고 있다.”

해커의 정체를 파악하기 힘든 게 마이비르트가 이끄는 사이버범죄팀의 최대 난제다. 해커들이 실명을 전혀 쓰지 않기 때문이다. 랜섬웨어 조직들의 작업 방식은 유연하고 민첩한 스타트업을 연상시킨다. “랜섬웨어 조직은 사이버범죄 포털의 구인공고로 신규 조직원을 채용하기도 한다.”

랜섬웨어는 연방헌법보호청의 지대한 관심사 중 하나다. 독일 당국이 랜섬웨어 문제를 얼마나 심각하게 받아들이는지를 엿볼 수 있다. 연방헌법보호청의 임무는 범죄자 수사가 아니라 독일을 간첩 행위와 해외 정보당국의 영향력에서 보호하는 것이다. <슈피겔>이 입수한 정보에 따르면 연방헌법보호청은 유출된 콘티 해커들의 내부 채팅 메시지 수천 개를 분석해 사이버범죄 조직과 러시아 정보당국의 연계를 파악 중이다.

몸값 대부분 러시아로

미국 법무부는 최근 사이버범죄 현상을 테러 위협과 비교했다. 2019~ 2021년 미국 연방경찰이 파악한 랜섬웨어 공격 횟수는 82% 폭증했다고 크리스토퍼 레이 미 연방수사국(FBI) 국장이 2022년 봄 발표했다. “랜섬웨어 조직이 두려워하는 것은 아무것도 없다.” 레빌(REvil)만 해도 미국에서 2019년 8월 이후 피해자 4만 명 이상을 협박해 비트코인과 모네로(Monero) 가상화폐로 몸값 1억5천만달러를 받아냈다.

가상화폐 덕택에 국경을 넘나들며 신속한 ‘돈 전달’이 가능해졌다. 독일 기업들을 협박해 받아낸 비트코인은 어디로 흘러갈까? 비트코인은 어디서, 그리고 어떻게 다른 화폐로 환전될까? 가상화폐 생태계 모니터링 업체 체이널리시스(Chainalysis)의 위협정보팀장 재키 코벤은 이에 대해 전문적 답변을 줄 수 있는 몇 안 되는 전문가다. 체이널리시스는 2021년 7억1200만달러라는 역대 최고 규모의 몸값을 역추적하는 데 성공했다고 코벤 팀장이 미국 상원에서 증언했다. 이 중 74%는 러시아 조직 혹은 러시아와 연계된 조직으로 흘러갔다고 한다.

코벤 팀장은 랜섬웨어 시장이 번창하고 있으며 협박으로 받아낸 몸값을 돈세탁할 방법도 무궁무진하다고 했다. 랜섬웨어 몸값은 구체적인 주소지로 연결되기도 한다. 체이널리시스는 모스크바 한복판에 있는 페더레이션타워(Federation Tower)에서 의심이 가는 금융업체 7곳을 확인했다. 우연히도 해커 조직 ‘이블코프’(Evil Corp)에 속한 막심 야쿠베츠와 그와 협력하는 해커 한 명이 페더레이션타워에 사무실 여러 곳을 보유하고 있다.

2019~2021년 모스크바에 있는 몸값 세탁의 온상으로 알려진 가상화폐 거래소 수엑스(Suex)와 가란텍스(Garantex)에만 랜섬웨어 몸값 2200만달러가, 다른 제3의 가상화폐 거래소로는 900만달러가 흘러갔다고 한다. 미국 재무부는 2022년 9월 돈세탁 의혹으로 체코공화국에 등록된 수엑스를 제재했다. 몸값을 돈세탁하고 글로벌 랜섬웨어 몸값 사업의 핫스폿으로 알려진 모스크바의 가상화폐 거래소 두 곳에도 추가 조처가 이어졌다.

코벤 팀장은 유출된 콘티의 내부 채팅 메시지에서 한 조직원이 불평하는 내용을 들려줬다. 자신이 받아낸 몸값을 수많은 가상화폐 업체가 거부했다는 것이다. 랜섬웨어에 대한 공개토론이 늘고 가상화폐 시장에 대한 규정 준수 압박이 늘어나는 것도 효과를 발휘하고 있다. “가해자에게 몸값을 낼 가능성이 줄어들고 있다.” 분명 좋은 소식이다.

파트리크 보이트 Patrick Beuth <슈피겔> 기자 등 5명

번역 김태영 위원