“해커를 해킹하라”···세계 최대 랜섬웨어 집단 '록빗' 뚫렸다

영NCA·미FBI 등 10여국 국제기관 공조
"해커들을 해킹해 록빗 완전히 장악해"

영국 국가범죄청(NCA)이 20일 런던에서 공개한 사이버 범죄집단 ‘록빗(LockBit)’ 사이트의 스크린샷. ‘이 사이트는 법 집행 당국의 통제하에 있다’는 메시지가 보인다. AFP/National Crime Agency연합뉴스

[서울경제]

영국 국가범죄청(NCA)와 미국 연방수사국(FBI) 등 세계 10여 개 수사기관이 국제 공조를 통해 세계 최대 랜셈웨어 해커집단 ‘록빗(LockBit)’을 장악하는 데 성공했다.

20일(현지 시간) 파이낸셜타임스(FT) 등 외신에 따르면 NCA는 이날 런던에서 기자회견을 열고 FBI와 미국 법무부, 유로폴(EU 경찰조직) 등과 공조하는 ‘크로노스 작전’을 통해 사이버 범죄 조직 록빗에 치명적인 타격을 입혔다고 발표했다. 그레임 비거 NCA 청장은 “우리가 해커들을 해킹해 록빗을 근본적으로 파괴했다”고 밝혔다. 그리고 이어 “오늘부터 록빗은 사실상 사라졌다. 록빗은 잠겼다”고 말했다. 실제 전날 저녁부터 록빗 웹사이트는 “법 집행 당국의 통제하에 있다”는 메시지를 띄우고 있다.

크로노스 작전을 지휘한 국제기관들은 그룹의 핵심 멤버 일부도 체포·기소했다고 전했다. 폴란드와 우크라이나에서 록빗 활동가 2명이 체포됐고 미국 법무부는 록빗 랜섬웨어를 배포한 혐의로 러시아인 2명을 기소한 공소장을 공개했다. 미국 재무부도 중국 최대은행인 공상은행(ICBC)의 미국 기반 금융 서비스 부문이 11월 해킹당한 것을 근거로 록빗의 계열사 2곳에 제재를 가하기로 했다. 비거 청장은 “수사기관이 약 200개의 암호화폐 계정을 동결하고 풍부한 데이터를 압수해 추가 수사에 박차를 가하고 있다”고 말했다.

2019년께 등장한 록빗은 현재 다크웹에서 가장 활발하게 활동 중인 랜섬웨어(악성코드) 사이버범죄 그룹다. 정부기관들의 발표에 따르면 2022년 세계에서 가장 많이 유포된 랜섬웨어는 록빗이다. 롯빗은 2023년 초 기준 세계 랜섬웨어 사고의 44%를 일으킨 것으로 추정된다.

록빗의 수익 모델은 랜섬웨어를 개발한 후 해커들에게 판매해 수입을 얻는 형태다. 해커들은 록빗의 랜섬웨어를 이용해 피해자의 데이터를 암호화하거나 유출하겠다고 협박해 몸값을 받아낸다. 록빗은 피해자들의 지불한 몸값의 20% 가량을 수수료로 받는다.

이런 방식으로 록빗 해커들은 지난 4년간 2000여 명의 피해자로부터 1억 2000만 달러(1600억 원)를 뜯어냈다. 대기업들도 잇따라 공격했는데 지난해 초 영국 우편서비스 업체인 로열메일을 공격했고 11월 중국 ICBC를 공격해 금융계에 충격을 안겼다. 또 같은 달 미국 항공사 보잉에서 훔친 것으로 추정되는 기가바이트 규모 데이터로 협박을 하다 몸값 협상이 결렬되자 데이터를 온라인에 유출했다.

록빗은 뚜렷한 증거는 없지만 러시아 사용자들이 많고 옛 소련 국가 기업은 공격지 않는다는 점에서 러시아 조직이라는 관측이 우세하다.

필립 셀러(왼쪽 두 번째) 미국 법무장관과 그렘 비가(〃 네번째) 영국 국가범죄수사국(NCA) 센터장이 20일 런던에서 랜섬웨어 조직 록빗(LockBit)에 대한 법 집행 작전의 세부 사항을 설명하기 위해 기자회견을 하고 있다. AP연합뉴스

김경미 기자 kmkim@sedaily.com