How to respond to transnational cybercrime groups

초국가적 사이버 범죄 그룹에 대응하는 방법

랜섬웨어, 암호화폐 해킹, NFT 해킹 등 사이버 상에서 발생하는 사이버 범죄 규모는 연간 500조 원을 넘어서고 있다. 그리고 사이버 범죄 조직들은 국제적인 조직으로 발전하고 있다. 그에 맞춰 사이버 범죄 조직을 대응하기 위한 협력도 국가 간의 협력을 넘어서 국제 협력으로 발전하고 있다. 끝나지 않은 초국가 사이버 범죄 그룹과, 그에 대응하는 국제 협력 조직들의 현 주소와 함께 사이버 범죄 그룹이 주로 행하는 랜섬웨어의 예방과 대응 방법에 대해 알아본다.

개인부터 국가까지 공격하는 사이버 범죄  

2020년 9월 MIT Technology Review 기사에 따르면 독일에 있는 병원에서 랜섬웨어, 즉 시스템과 PC의 중요 파일을 암호화한 후, 암호화폐 등 돈을 요구하고 돈을 지불해야만 암호화된 파일을 해독할 수 있는 악성 프로그램에 감염된 PC로 인해, 심각한 상황의 환자를 적시에 치료하지 못해 사망하는 사건이 발생했다.

2021년 5월에는 미국 최대 석유 송유 시설인 콜로니얼 파이프라인 시스템이 랜섬웨어에 감염되어 미국 동부 지역의 석유 운송에 심각한 차질이 발생했다. 랜섬웨어는 사이버 범죄 조직이 활용하고 있는 대표적인 사이버 공격 방식이며, 피해액은 매년 증가하고 있다. 미국외교협회(CFR) 보고서에서도 미국 지방 정부가 랜섬웨어의 주요한 목표가 되고, 상당한 피해를 입고 있지만 마땅한 대응책을 마련하기 어려워하고 있다는 사실을 보도했다.

2021년 글로벌 랜섬웨어 피해 규모는 23조 6,000억 원이며, 2031년에는 312조 7,000억 원에 이를 것으로 내다봤다. 기존 전통적인 범죄 그룹도 점차 사이버 기술을 활용하여 사이버 범죄를 일으키고 있다. 그것이 보다 들키지 않으면서도 많은 범죄 수익을 얻을 수 있기 때문이다.

<매년 증가하는 랜섬웨어 피해금액>

년도2015202120262031
피해금액 (단위: 원)3,800억 23조 6,000억 84조 3,000억 312조 7,000억
출처: 한국인터넷진흥원, 2021년 랜섬웨어 스페셜 리포트

사이버 범죄에 대응하기 위한 국가 간 협력

사이버 범죄 그룹들이 더욱 조직화되고, 국가의 영역을 넘어서 초국가적으로 변함에 따라 각 국가들도 사이버 범죄에 대응하기 위한 국가 협력을 서두르고 있다.

2022년 5월 한국과 미국의 정상이 서울에서 만나 다양한 의제에 대해 논의했다. 한·미 정상은 ‘글로벌 포괄적 전략동맹’을 선언했고, 선언의 핵심 내용으로 사이버 범죄, 자금세탁 대응을 위한 당국 간 사이버 협력을 강조했다.   

2021년 10월 미국 주도 랜섬웨어 대응 회의에 한국을 포함하여 30개 국가가 참석했다. 랜섬웨어 대응 회의에서 참여국들은 공동선언문을 발표했다. 공동선언문에는 다양한 안건에 대해 협의하기로 했으며, 그 중에서도 “사이버 범죄 대응 및 역량 강화를 위한 외교적 협력 강화” 등에 대한 의지를 표명했다고 외교부는 밝혔다.

이와 같이 국가 간의 협력이 더욱 필요한 것은, 더 이상 한 국가의 역량 만으로는 조직화된 국제 사이버 범죄 조직의 공격을 막기 어렵기 때문이다.

국제기구에서의 사이버 범죄 대응 협력

두 국가 간의 협력을 넘어서 지역적, 국제적 기구에서도 초국가 사이버 범죄를 예방하고, 나아가 피해를 조사하여 범죄 조직을 소탕하기 위한 노력을 기울이고 있다.

UN마약범죄사무소(UNODC)에서는 2022년 3월 랜섬웨어 예방을 위한 캠페인의 일환으로 ‘To Be RansomAware: 캠페인 랜딩 이벤트’를 개최했다. 같은 해 5월 사이버범죄 트레이닝 컨설턴트(랜섬웨어 조사관) 채용 공고를 냈다.

인터폴은 17개 국가에서 참여한 19개의 법집행 기관과의 4년 동안 초국가 랜섬웨어 조직을 수사했다. 2021년 11월, 코드 네임 ‘QuickSand’ 작전을 통해  수만 건의 랜섬웨어를 유포하고, 2억 유로 이상의 랜섬(몸값)을 요구한 사이버 범죄 조직을 체포했다. 

한국 경찰은 2월, 4월, 10월에 3명의 용의자를 체포했으며, 쿠웨이트 당국은 GandGrab 랜섬웨어를 유포한 용의자를 붙잡았다. 루마니아 당국은 5,000번 이상의 랜섬웨어를 감염시킨 두 명의 범죄자를 체포했으며, 인터폴과 유로폴을 포함하여, 민간 전문 기관들인 트렌드 마이크로, CDI, 카스퍼스키 랩과 팔로 알토 네트웍스 또한 인텔리전스 측면에서 이번 작전에 기여를 했다. 또한 KPN, 맥아피, S2W 등의 보안 업체들은 사이버와 악성코드 분석 전문가들이 참여하여 인터폴이 이번 작전을 수행하는데 도움을 줬다.

이 사례는 여러 국가 기관의 경찰력과 민간 기관과의 공조를 통해 초국가 사이버 범죄 조직을 체포한 첫 사례로 잘 알려져 있다. 이와 같이 사이버 범죄 조직들이 국가의 경계를 넘어서 초국가적으로 활동함에 따라 법 집행 기관들도 함께 공조하여 대응하는 사례가 늘고 있다.

다크넷의 부상

한 국가 수준에서 초국가 사이버 범죄 조직으로부터 공격을 막거나 수사하기가 어려워짐에 따라 국제 기구나 국가 간의 협력이 활발해지고 있지만, 여전히 사이버 범죄 조직들은 추적을 피하고 범죄를 은밀하게 저지르기 위해 다양한 신기술을 활용하고 있다.

사이버 범죄 조직이 자신의 신분을 숨기는데 활용하는 대표적인 사이버 기술은 다크넷(DarkNet)과 다크웹(DarkWeb)이다.  다크넷은 일반인이 크롬이나 엣지브라우저로는 접속이 불가능하며, 토르와 같은 특정 브라우저를 통해서만 접속이 가능하다. UNODC는 2021년 2월 ‘동남 아시아에서의 다크넷 사이버 범죄 위협’ 보고서를 발표했다. UNODC 보고서에 따르면 4개의 대표적인 다크넷 마켓에서 2019년 말까지 판매되는 항목은 14만 개에 달했으며, 그 중 9만 5,000여 개가 마약이나 마약과 관련된 항목이었다. 범죄 조직들이 다크넷을 활용하는 이유는 다크넷에서는 인터넷상에서의 판매자의 신분인 IP(Internet Protocol) 주소 또는 ID를 기술적으로 거의 완벽하게 숨길 수 있기 때문이다.

2022년 현재에도 알파베이 마켓, 보헤미아 마켓, 바이스시티 마켓, ASAP 마켓, 하이네켄 익스프레스 마켓 등 여전히 많은 다크넷 마켓이 활발하게 활동하고 있다.

사이버 범죄 조직의 사이버 공격 기술은 점점 고도화되고 있다. 단순히 파일을 암호화 시켜서 파일을 인질로 삼아서 암호화폐와 같은 돈을 갈취하는 것 뿐만 아니라 공격을 한 기업의 기밀 정보를 훔쳐서 돈을 보내지 않을 경우 다크넷을 통해 기업의 기밀 정보를 공개하기도 한다. 대표적인 예가 2020년에 수 많은 기업을 감염시키고, 기업의 기밀 정보를 다크넷에 공개한 아바돈(Avaddon) 랜섬웨어였다. 다음해 아바돈 랜섬웨어 갱은 여러 이유로 인해 랜섬웨어로 감염된 파일을 풀 수 있는 복호화 키를 공개하고 더이상 활동을 하지 않는다고 밝혔다.  

초국가 사이버 범죄 조직으로부터 피해를 최소화하려면?

“꼬리가 길면 언젠가는 잡힌다”는 속담처럼 2021년 초국적으로 활동하던 랜섬웨어 갱이 법 집행기관에 체포된 이후 랜섬웨어 갱들의 전략은 약간 바뀐 것으로 보인다. 적지 않은 사이버 범죄 조직들은 이름을 바꿔서 활동하기도 하지만 그들의 사이버 범죄 활동이 중단된 것은 아니다. 그렇다면 초국적 사이버 범죄 조직으로부터 최소한의 예방을 하기 위한 활동에는 어떤 것이 있을까?

영국 국가사이버안전센터(NCSC)와 미국 사이버보안 및 인프라 보안국(CISA)에서 랜섬웨어에 대한 대응 방안을 2020년에 제시했다.

공통적으로 권고하는 방안을 살펴보자면, 첫 번째 방법은 중요하고 핵심적인 데이터는 주기적으로 백업을 하고, 정기적으로 백업 프로세스를 잘 실행하는 것이다. 두 번째로는 랜섬웨어는 피싱, 악성 프로그램, 서드 파티(소프트웨어 공급망에서 사용되는) 제품을 통해 감염될 수 있기 때문에 의심스러운 메일이나 파일을 열지 않음으로 악성 코드로부터 감염되지 않도록 방어하는 것이다. 세 번째로는 침해당했을 때 빠르게 복구하고 대응하기 위한 사이버 침해 대응 계획을 수립하고, 관리하고 정기적으로 훈련을 하는 것이다.  

이와 같이 개인과 조직들이 랜섬웨어로부터 예방하는 노력과 더불어, 랜섬웨어 갱들의 위협에 대한 억제력을 강화하고, 나아가 랜섬웨어 갱들을 조사, 수사, 체포하기 위한 국제적인 공조가 함께 이뤄줘야 할 것이다.

* 필자 김경곤은 사우디아라비아 나이프아랍안보과학대학교 교수로서 사이버범죄 및 디지털 포렌식 센터의 Cybercrime Investigation Department의 Head를 맡고 있다.  이전에는 딜로이트 , PwC Risk Advisory에서 컨설턴트로, 고려대 정보보호대학원에서 산학협력중점교수로 일했다. 저서로는 《인터넷 해킹과 보안》,  번역서로 《사이버 보안과 국가 안보 전략》,《웹 해킹 & 보안 완벽가이드》 등이 있다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.