S2W, ‘인터폴 랜섬웨어 국제 수사’ 협조 성과 인정받아

레빌(Revil) 및 클롭(Cl0p), 갠드크랩(GandCrab) 랜섬웨어 조직 검거 위한 국제 수사 협조
랜섬웨어 인프라 정보 및 비트코인 자금흐름 등 분석, 랜섬웨어 운영자들의 활동 분석 및 프로파일링

[CI=S2W]

[보안뉴스 원병철 기자] 데이터 인텔리전스 기업인 S2W(대표 서상덕)는 인터폴의 레빌(Revil) 및 클롭(Cl0p), 갠드크랩(GandCrab) 랜섬웨어 조직 검거를 위한 국제 수사에 협조했다고 밝혔다. 인터폴의 공식 기사에서 S2W가 제공한 ‘다크웹 데이터’ 분석 인텔리전스 정보가 검거에 큰 도움이 되었다고 언급됐다.

인터폴의 공식기사에 따르면 S2W는 국내 보안 기업 최초로 랜섬웨어 국제공조 수사에 정보를 제공하는 등 지난 4년간의 여러 작전에 큰 기여를 했다. S2W는 글로벌 보안 기업에 비해 극소수의 인원이지만 차별화된 AI 기반 분석 기술력과 빅데이터 처리 능력, 위협탐지 자동화, 글로벌 CTI팀의 강력한 팀워크를 통해 분석한 다크웹 데이터 분석 정보를 인터폴 수사에 제공함으로써 국경을 넘는 사이버범죄자 체포를 위한 국제 공조에 일조했다. S2W는 향후에도 범국가적인 랜섬웨어 범죄 차단을 위해 인터폴에 적극 협조하여 인텔리전스 정보를 제공할 계획이다.

S2W는 범죄 발생 장소 추적을 위한 랜섬웨어 관련 인프라 정보를 분석하고, 랜섬웨어의 비트코인 자금흐름 및 신규 주소 분석을 수행했다. 또한, 다크웹 내 랜섬웨어 운영자들의 활동 분석 및 프로파일링(범죄유형분석)을 진행하는 등 인터폴에 다크웹 데이터를 분석한 주요 인텔리전스 정보를 제공했다.

S2W 서상덕 대표는 “최근 사이버공격은 국경을 넘나들며 발생하면서 국제공조 수사가 진행되고 있다. 특히, 서비스형 랜섬웨어(RaaS)의 등장은 개발자와 유포자의 분업 구조를 만들었고, 실제 범죄의 핵심인 개발자 검거가 더욱 어려워지고 있다. 이에 따라 국제적인 공조를 통해 수사력을 강화할 필요성도 커지고 있다”라며, “S2W는 인터폴의 사이버 범죄 조직 검거 작전에 적극 협조하여 카스퍼스키, 맥아피, 트랜드마이크로, 팔로알토 네트웍스와 같은 글로벌 기업들과 함께 자사의 다크 데이터 분석 엔진으로 밝혀낸 인텔리전스 정보를 제공하고 있다”고 밝혔다.

S2W의 CTI(사이버 위협 인텔리전스) 그룹장 곽경주 이사는 “국제사회가 ‘해커와의 전쟁’에 나서면서, 국경을 넘는 사이버범죄자들이 속속들이 체포되고 있다. S2W는 핵심적인 인텔리전스 정보를 인터폴 및 해외 수사기관에 전달했으며, 현재도 활발한 공조를 이어가고 있다”며, “S2W는 최근 진행된 랜섬웨어 분석 케이스뿐만 아니라, 다크웹에서 활동 중인 다양한 사이버 범죄자들을 추적할 수 있는 Actionable(실행 가능)한 데이터들을 인터폴 및 해외 다수의 수사기관에 공유하며 국제 사이버 범죄 근절 활동에 기여하고 있다”라고 밝혔다.

S2W가 ‘인터폴 랜섬웨어 국제 수사’에 협조해 다크웹 데이터 분석 정보를 제공한 주요 사례는 다음과 같다.

·레빌(Revil) 랜섬웨어 조직 ‘골드더스트(GoldDust)’ 작전으로 체포: 카세야 사태로 세계적으로 악명을 떨치던 레빌(Revil) 랜섬웨어 조직원이 한국을 포함한 17개국 공조인 ‘골드더스트(GoldDust)’ 작전으로 체포됐다. 이번에 검거된 조직원은 루마니아에서 체포되고, 미국으로 넘겨졌다. 미국 법무부가 현지시간으로 11월 8일, 카세야 공급망 공격의 주범인 레빌 조직 산하단체 해커 2명을 체포해 기소하고, 범죄로 얻은 약 71억 원 상당의 암호화폐를 압수했다.

소디노키비(Sodinokibi)라는 이름으로도 알려진 레빌은 과거 악명을 떨친 ‘갠드크랩’의 조직원 일부가 모여 새로 만든 단체다. 올해 7월, IT 솔루션 기업 카세야를 해킹하고, 이를 사용하는 기업 시스템에 숨어들어 랜섬웨어 공격을 펼치기도 했다. 특히, 이들은 서비스형 랜섬웨어(RaaS: 악성코드를 클라우드 서비스 방식으로 제공)로 제공해 유포자가 이를 이용해 여러 시스템을 감염시킨 뒤 범죄 수익을 서로 분배하는 방식을 택했다. 국내에서도 지난 2019년부터 경찰기관, 헌법재판소, 한국은행 등을 사칭해 갠드크랩 랜섬웨어가 대량으로 유포된 바 있다.

유로폴(Europol)은 레빌과 소디노키비 조직을 소탕하기 위해 국제 공동조사팀을 구성했다. 그 결과로, 한국에서 2월, 4월, 10월에 약 1,500명의 피해자를 낸 범죄 조직원 일부를 검거했으며, 이달 4일 쿠웨이트에서도 갠드크랩 조직원을 체포하는 데 성공했다. 올해 2월부터 체포된 용의자는 7명이다.

·클롭(Cl0p) 랜섬웨어 조직, ‘사이클론(Cyclone)’ 작전으로 체포: 국내 대학교와 기업을 공격한 클롭(Cl0p) 랜섬웨어 조직 역시 올해 10월, 국제 공조로 자금세탁 총책 등 4명을 입건했다. 최근 인터폴은 30개월 동안 진행된 랜섬웨어 조직 클롭(Cl0p)을 대상으로 한 국제 수사 작전인 ‘오퍼레이션 사이클론(Operation Cyclone)’을 수행, 전 세계 경찰 조직들이 대대적인 성과를 올렸다고 밝힌 바 있다.

인터폴과 우크라이나 경찰, 대한민국 경찰청, 미국 사법 기관이 참여해, 데이터를 대가로 금전을 요구하는 클롭(Cl0p) 랜섬웨어 갱단의 일원을 체포하는 데 성공했다. 지난 6월 우크라이나, 한국, 미국 등은 공동으로 실시한 국제작전 끝에 클롭의 조직원으로 추정되는 6명을 체포했다. 우크라이나 경찰은 21개 장소를 수색한 결과 컴퓨터, 스마트폰, 테슬라와 메르세데스 등 차량, 18만 5,000달러 이상의 현금 자산 등을 압수했다.

·갠드크랩(GandCrab) 랜섬웨어 조직, 국내 유포책 검거: 경찰청 사이버수사국은 올해 3월, 2년간 10개국과 국제 공조수사를 펼쳐 경찰관서를 사칭하는 레빌(Revil)의 전신인 갠드크랩(GandCrab) 랜섬웨어 국내 유포책을 검거한 바 있다. 국내 유포책은 지난 2019년부터 주요 공공기관을 사칭한 이메일로 랜섬웨어를 유포해 왔으며, 가상자산으로 범죄수익금을 받고 IP를 우회하는 등 치밀하게 추적을 회피했다. 이에 경찰은 가상자산 입출금 기록 3,000만 건을 파악하고, 통신기록을 분석해 범죄자를 특정했으며, 인터폴과 협력해 개발자를 추적했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)