보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

그 어느 조직보다 크게 넘어진 록빗, 국제 공조 이전부터 힘 잃었었다

입력 : 2024-02-23 23:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
가장 잘 나가던 랜섬웨어 조직이, 안에서는 곪아 터지고 있었고 그 시점을 국제 사업 기관들이 잘 노려 공조를 펼쳤다. 아직 주요 인물들의 체포로까지 이어지지는 않았지만, 그럼에도 록빗의 재기가 그리 쉬워 보이지는 않는다.

[보안뉴스 = 자이 비자얀 IT 칼럼니스트] 록빗(LockBit) 랜섬웨어 갱단은 국제 공조가 있기 전부터 내부적인 문제에 시달렸던 것으로 보인다. 이번 주 록빗이 무력화 된 후에도 여러 가지 관련 소식들이 나오는 중인데, 그 중 록빗이 내부적으로 불화와 갈등을 겪고 있었다는 주장들도 섞여 있다. 그리고 그 내부의 불화 끝에 일부가 외부에 밀고한 것으로 인해 국제 공조가 높은 성과를 거둘 수 있었던 것으로 보인다.

[이미지 = gettyimagesbank]


록빗이 입은 피해
많은 이들이 록빗이 복구 불가능한 피해를 입었을 거라고 추측하고 있다. 하지만 보안 업체 트렌드마이크로(Trend Micro)의 위협 첩보 부문 부회장인 존 클레이(Jon Clay)는 “아직 확정적으로 말하기 이른 시점”이라고 조심스럽게 말한다. 트렌드마이크로는 이번 국제 공조에 참여했던 기업으로, 록빗 랜섬웨어의 각종 침해지표를 발표하기도 했었다. “하지만 당분간 이전처럼 효과적으로 자신들의 목적을 달성하기는 힘들긴 할 겁니다. 너무 많은 정보와 공격 인프라를 빼앗겼어요.”

록빗이 국제 공조 작전(크로노 작전)으로 잃은 건 다음과 같다.
1) 주력 관리자 서버들(록빗 고객들을 이것으로 지원 및 관리해왔다)
2) 주력 정보 공개 웹사이트
3) 록빗 랜섬웨어의 소스코드
4) 협력자들과 관련된 세부 정보
5) 피해자들과 관련된 세부 정보
6) 록빗과 함께 사용되던 데이터 유출 도구인 스틸빗(StealBit)이 호스팅 되어 있던 서버들
7) 암호화 키 1천 개 이상
8) 록빗 갱단과 관련이 있던 암호화폐 지갑 주소 200여 개(모두 동결됨)

사법 기관들이 공개한 내용에 의하면 국제 공조가 성공한 결정적 이유는 록빗의 실수와 부주의가 크게 작용한 것으로 보인다. PHP의 취약점인 CVE-2023-3824를 사법 기관의 요원들이 해킹해 록빗의 환경에 침투하는 데 성공했기 때문이다. 이를 두고 FBI 등은 “해커들을 해킹했다”고 표현하기도 했다.

사법 기관들의 움직임
이렇게 국제 공조 기관들이 대대적으로 승전보를 올린 바로 그날, 미국 사법부는 두 명의 러시아 국적자들에 대한 기소문을 공개했다. 바스터로드(Bassterlord)라고 알려진 이반 콘드라티예프(Ivan Kondratyev)와 아터 순가토프(Artur Sungatov)였는데, 록빗과 깊은 관련이 있는 인물들이라고 한다. 특히 미국 피해자들을 괴롭히는 데 적극 가담한 전적을 가지고 있다고 사법부는 밝혔다. 그 외에도 록빗의 범죄에 가담한 인물 두 명의 신병도 확보해둔 상황이라고 알렸다. 미카일 바실리예프(Mikhail Vasiliev)와 루슬란 아스타미로프(Ruslan Astamirov)였다.

그리고 다음 날 사법부는 한 발 더 나아갔다. 나머지 록빗 멤버들에 대한 정보를 제공하는 사람에게 최대 1500만 달러의 현상금을 제공하겠다고 발표한 것이다. 록빗의 주요 멤버와 운영진의 체포로까지 이어질 정도로 결정적인 정보라면 최대 금액을 가져갈 수 있다고 약속했다. 재무부는 사법부와 발을 맞춰 콘드라티예프와 순가토프를 제재 대상 목록에 올리기도 했다.

이번 작전에 참여했던 기관들은 작전 중 압수하는 데 성공했던 록빗의 웹사이트에 록빗과 록빗의 파트너들을 조롱하는 메시지를 남기기도 했다. 일부 보안 전문가들은 이것이 사이버 범죄자들의 심리를 뒤흔들기 위한 작전이라고 해석하고 있기도 하다. 보안 업체 레드센스(RedSense)의 수석 연구 책임자인 옐리세이 보후슬라프스키(Yelisey Bohuslavskiy)는 “록빗만이 아니라 다른 사이버 범죄 조직들에게도 보내는 경고 메시지”라고 설명한다. “사법 기관이 자신들의 인프라에 침투해 있을 지도 모른다는 불안감을 퍼트리려는 것이라고 봅니다. 그렇게 쥐고 흔들면 실수를 하게 되고 범죄 행위도 줄어들 수 있으니까요.”

다시 살아나기, 충분히 가능하지만
이렇게 해도 록빗이 다시 살아난다는 데에 돈을 걸 사람이 더 많을 것이다. 왜냐하면 여태까지 무력화 된 사이버 범죄 조직들 거의 대부분 어느 정도 시간이 지나면 부활했기 때문이다. 그렇다고 록빗이 당장 다음 달 아무렇지도 않게 나타날 가능성이 높아 보이지는 않는다. 트렌드마이크로에 의하면 록빗은 이번 공조 이전부터 내부적인 어려움을 겪고 있었다고 한다. 일부 구성원들이 불만을 품으며 겉돌기 시작한 것이다. 그 증거로 2022년 9월에는 록빗의 멤버 한 명이 랜섬웨어 빌더를 공개하기도 했었다. 그러면서 록빗에 돈을 내지 않고도 록빗 랜섬웨어를 사용하는 해커들이 조금씩 나타나기 시작했다.

게다가 지난 해 4월부터는 록빗은 자신들이 피해자 정보를 공개하는 사이트에 엉뚱한 이름들을 가끔씩 올리기 시작했다. 심지어 자신들이 확보한 데이터랍시고 공개한 자료 중 가짜가 섞여 있기도 했다. 그러면서 록빗의 피해자 관리 부분에 문제가 있음이 의심되기 시작했다. 그러면서 록빗은 자신들의 멀웨어를 구매해 공격을 실시할 파트너들을 공격적으로 모집하기 시작했는데, 이 때 느껴지는 건 ‘절박함’이었다고 트렌드마이크로는 설명한다. 그런 가운데 일부 파트너들이 록빗이 정산을 제대로 해 주지 않는다고 폭로하기 시작하면서 록빗의 명성은 나락으로 떨어지기 시작했다.

보안 업체 옵티브(Optiv)의 위협 첩보 분석가 아밀 카리미(Aamil Karimi)는 여기에 한 가지 사건이 추가되면서 록빗 운영자들은 꽤나 심각한 압박을 받게 됐다고 설명을 이어간다. “러시아의 기업인 에이앤시큐리티(AN Security)가 1월에 사이버 공격을 받았는데, 록빗이 연루되어 있었다는 사실이 밝혀졌어요. 록빗을 포함해 대부분의 RaaS 사업자들은 CIS 국가들을 절대 공격하지 않는다는 게 암묵적인 그들만의 규칙이었는데 록빗이 어긴 것이죠. 당시 지하 포럼은 난리가 났었습니다. 록빗이 벌금을 내게 해야 한다거나 록빗을 해체시켜야 한다는 주장들이 계속해서 나왔습니다.”

FSB의 앞잡이?
이렇게 록빗이 흔들리자 록빗의 자리를 다른 경쟁 RaaS 사업자들이 차지하려 노력하기 시작했다. “그 누구도 록빗에 대해 안타깝다거나 불쌍하다는 식의 반응을 보이지 않았습니다. 유력한 1위가 꺾였으니 빈 자리를 차지하겠다는 경쟁에만 치열하게 돌입했을 뿐입니다. 이는 실제 국제 공조로 인한 록빗 무력화 소식이 대대적으로 나간 후에도 마찬가지입니다. 해커들이라고 경쟁자를 반드시 이렇게 매몰차게 내치지는 않거든요? 아무래도 록빗이 명성이나 왕성함에 비해 동료 범죄자들의 사랑까지 받지는 못했던 것으로 보입니다.”

보후슬리브스키는 “그런 혼란 가운데 록빗의 관리자가 러시아 정부 기관인 FSB의 요원들로 대체되었다는 소문도 돌기 시작했다”고 말한다. 하지만 그 소문이 록빗의 이미지를 뒤바꿔주지는 않았다. “2021년에 러시아 정부가 잠깐 랜섬웨어 조직들을 수사하고 체포하는 등 뭔가 행동을 취한 적이 있습니다. 그러면서 레빌(REvil)이나 아바돈(Avaddon) 등이 조용해졌죠. 그 때 록빗 운영자들도 갑자기 잠적해 사라졌습니다. 그러다가 갑자기 나타나서 활동을 시작하니, 다들 이상하다고 여긴 것입니다.”

보후슬리브스키는 록빗이 변했다는 소문이 제일 먼저 ‘최초 침투 브로커’들 사이에서 나왔다고 말한다. 즉 록빗과 가장 가까운 곳에서, 가장 직접적으로 일해 왔던 자들이 이상함을 감지한 것이다.

물론 이러한 소문들이 실제로 확인된 것은 아니다. “하지만 록빗이 꽤나 오래 전부터 흔들려왔고, 그 때문에 PHP 취약점이 자신들의 환경에 있음에도 알지 못했으며, 사법 기관의 해킹을 허용했다는 데에까지는 결론을 내릴 수 있습니다. 그런 과정 가운데 해킹 범죄자들의 커뮤니티에서조차 ‘손절’을 당했고, 따라서 재기가 그 어떤 해킹 범죄 단체보다 힘들거나 오래 걸릴 수 있을 것으로 보입니다. 우리에게는 잘 된 일이죠.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)