The world’s biggest ransomware gang just disappeared from the internet

세계 최대 랜섬웨어 해커조직 잠적!

이들은 미국과 러시아의 고위관계자가 랜섬웨어 위기에 대한 회담을 갖기 하루 전에 돌연 활동을 중단했다.

세계에서 가장 활발하게 활동하던 랜섬웨어 해커조직이 13일 아침 인터넷에서 돌연 자취를 감췄다. 갑작스럽게 그들이 활동을 중단한 바로 다음 날에는 미국과 러시아의 고위직 관계자가 전 세계적인 위협이 되고 있는 랜섬웨어 사태와 관련하여 회담을 갖기로 예정되어 있었다.

랜섬웨어 해커조직 ‘레빌(REvil)’은 사이버 범죄가 활개 치던 최근 수년 동안 인터넷의 지하세계에서 왕성하게 활동해왔다. 최근 벌어진 랜섬웨어 공격의 진원지를 추적해보니 무려 42%가 그들의 소행인 것으로 드러났다. 그러나 이들의 이름이 특히 널리 알려지게 된 사건은 최근 있었던 두 건의 랜섬웨어 공격이었다. 이번 달 초 레빌은 랜섬웨어로 미국의 IT 기업 카세야(Kaseya)를 공격했고, 이로 인해 기업 1,000곳 이상이 타격을 받았다. 이는 역사상 가장 광범위한 랜섬웨어 공격이었다. 또 지난달에는 세계 최대 정육 업체인 JBS를 공격하여 1,100만 달러(약 126억원)를 요구하기도 했다. 이러한 상황 속에서 세계 정상들까지도 랜섬웨어 사태에 관심을 기울이며 강력하게 대응하겠다고 경고했지만, 불과 얼마 전까지만 해도 그 누구도 레빌을 통제할 수 없었다.

사이버 보안 기업 레코디드 퓨처(Recorded Future)의 선임 위협 분석가 앨런 리스카(Allan Liska)는 “도대체 무슨 일이 일어난 건지 정신없이 파악하고 있다”고 말하며, “아직 확신할 수는 없지만, 가장 규모가 큰 랜섬웨어 해커조직이 드디어 사라진 것 같다고 판단하고 있다”고 밝혔다.

그들의 갑작스러운 잠적을 설명할 몇 가지 가능성이 있다. 첫째로 그들이 돈을 충분히 모았거나 너무 큰 압박감을 느끼고 스스로 은퇴를 결심했을 가능성이다. 또는 미국이나 동맹국이 그들을 추적해서 붙잡는 데 성공했는지도 모른다. 아니면 국제적인 감시를 받는 상황에서 러시아 정부가 그들의 활동을 강제로 중단시켰을 수도 있다. 또는 단순히 일시적인 잠적일지도 모른다. 대부분의 사이버 범죄자들은 새로운 활동명으로 다시 활동을 시작하기 전에 잠시 ‘은퇴’한 척하는 경우가 많다.

사이버 보안 기업 체크포인트 소프트웨어(Check Point Software)의 대변인 에크람 아흐메드(Ekram Ahmed)는 “벌써부터 너무 성급하게 결론을 내리는 것은 추천하지 않는다. 하지만 레빌이 지금까지 목격한 랜섬웨어 해커조직 중에 가장 무자비하고 창조적인 집단이었음은 분명하다”라고 말했다.

이렇듯 그들이 사라진 이유는 불분명하지만, 랜섬웨어가 초래한 광범위한 문제들은 여전히 위협이 되고 있다.

미국 보안 업체 레드 카나리아(Red Canary)의 정보부서 부장 케이티 니클스(Katie Nickels)는 트위터에서 “이게 어떤 의미인지는 아직 모르겠지만, 그래도 행복하다”라며, “정부가 강제로 폐쇄한 거라면? 훌륭하지만 그들도 대응을 할 것이다. 그들이 자발적으로 폐쇄한 거라면? 끝내준다. 아마 겁먹었는지도 모른다. 하지만 이걸로 랜섬웨어 문제가 다 해결된 건 아니라는 사실을 기억해야 한다”라는 글을 올렸다.

현재 레빌이 사용하던 모든 웹사이트는 훔친 데이터를 올렸던 곳까지 포함하여 모두 폐쇄된 상태이다. 리스카의 설명에 따르면, 이보다 중요한 것은 이들이 랜섬웨어 공격에 사용했던 모든 시설과 컴퓨터 장비들도 모스크바 시간으로 13일 화요일 오전 8시쯤에 연결이 완전히 끊겼다는 사실이다. 이들의 대변인도 거의 일주일째 활동을 멈춘 상태다. 

리스카는 “랜섬웨어 사이트들은 익명성을 보장하는, 이른바 ‘방탄 호스팅(bulletproof hosting)’ 업체를 이용하고 있으며 불안정하기 때문에 자주 열렸다 닫혔다 한다”고 설명하며, “하지만 절대 동시에 열리거나 폐쇄되지는 않는다”라고 덧붙였다.

레빌은 러시아어로 활동하는 해커조직이며, 이들이 만든 악성코드는 러시아 컴퓨터를 공격하지 않는다. 또한 이들은 러시아에 있는 것으로 보이는 다른 해커조직과도 연결되어 있다. 이번 달에 있었던 대규모 랜섬웨어 공격 이후에 미국 백악관 대변인 젠 사키(Jen Psaki)는 “러시아 정부가 자국 내에 있는 범죄조직에 조치를 취할 수 없거나 취하지 않는다면, 우리가 나서서 대응하고 권리를 되찾겠다”고 발표했다.

원래 랜섬웨어 문제를 논의하기로 예정되어 있던 미-러시아 고위급 회담의 주제는 원래 계획과 달라질 것으로 보인다.

리스카는 “사이트가 폐쇄된 시점이 흥미롭다. 카세야를 공격한 직후이자 내일 예정된 회담 바로 직전이라니”라고 말하며, “그들은 역사상 가장 큰 규모라고 할 수 있는 랜섬웨어 공격을 막 끝냈다. 그렇게 정점에 오른 상황에서 사이트를 바로 폐쇄한 것을 보면 이번 잠적이 단순한 우연은 아닌 것 같다”라고 밝혔다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.