하이브 랜섬웨어 일망타진한 국제 수사기관들, 피해자들도 구제

하이브 랜섬웨어의 공격 인프라가 국제 수사 기관들에 압수됐다. 하이브는 더 이상 공격을 이어갈 동력을 가지고 있지 않다. 1억 3천만 달러의 피해도 예방했다. 랜섬웨어가 생각보다 빠르게 사양길로 접어들 수 있다.

[보안뉴스 문가용 기자] 국제 사법 기관들이 연합하여 악명 높은 하이브(Hive) 랜섬웨어 갱단을 무력화시켰다. 이 과정에서 1억 3천만 달러에 달하는 피해가 발생하는 걸 막기도 했다. 다만 이러한 사건을 통해 하이브 랜섬웨어를 영구적으로 사라지게 될지, 또는 랜섬웨어 산업 전체가 주춤하게 될지는 아직 장담할 수 없다.

[이미지 = utoimage]

사법 기관들은 80개가 넘는 국가에서 1500명이 넘는 피해자들로부터 정보를 받아 수개월 동안 하이브를 추적했다. 하이브는 RaaS, 즉 ‘서비스형 랜섬웨어’라는 사업 모델을 2021년 6월부터 유지해 온 단체다. 지금까지 각종 데이터 탈취 사건 및 이중협박 공격에 가담해 왔고, 여러 학교와 금융 기관, 사회 기반 시설들을 공략했다. 하이브의 파트너 중 한명은 병원만 집중적으로 노리기도 한다.

FBI는 작년 7월부터 하이브의 내부 인프라를 침투했었다고 하며, 그러면서 여러 성과를 올렸다고 한다. 그 중 가장 눈에 띄는 건 복호화 키들을 입수한 것이었다. 공격자들의 내부에 있던 FBI가 공격자들의 복호화 키를 몰래 빼내 피해자들에게 전달했다는 건데, 이렇게 피해를 피해갈 수 있었던 단체와 사람은 1000개/명이 넘는다고 한다. 피해 액수로 따지면 1억 3천만 달러가 넘는다.

하이브, 완전히 사라진 것인가?
이런 활동 외에도 FBI와 미국 사법부는 독일의 사법부와도 공조를 진행했다. 하이브의 C&C 인프라(서버와 다크웹 웹사이트 포함)를 확보하기 위해서였다. 그리고 실제로 공격에 활용되는 각종 서버들과 웹사이트를 확보 및 압수하는 데 성공했다. 이는 공격자들에게 꽤나 커다란 타격이 될 것이 분명하다고 보안 업체 맨디언트(Mandiant)는 설명한다. “가장 왕성하게 활동하던 랜섬웨어 패밀리가 하이브입니다. 저희가 랜섬웨어 사건을 대응하다 보면 15% 정도가 하이브입니다.”

하지만 이런 공조 활동이 영구적으로 하이브 운영자들과 그 파트너 범죄자들을 범죄 시장에서 몰아낼 거라고 보는 사람은 거의 없다. 콘티(Conti)와 레빌(REvil) 랜섬웨어 단체도 국제 공조에 당해 인프라가 사라지고 일부 멤버들이 체포를 당했지만 남은 이들끼리 새로운 단체를 시작하거나 다른 범죄 조직에 합류하면서 활동을 이어갔다. 사법 기관들의 활동으로 와해된 사이버 범죄 조직은 다 이런 식으로 살아난다.

맨디언트의 수석 관리자인 킴벌리 구디(Kimberly Goody)는 “하이브 랜섬웨어 운영자들이 등장한 이래로 수많은 범죄 조직들이 이들과 손을 잡는 것을 목격했지만, 2022년 한정 가장 눈에 띄는 건 UNC2727이었다”고 말한다. “UNC2727은 하이브와 독자적으로 관계를 맺은 게 아니었습니다. 이들은 콘티와 마운트락커(MountLocker) 등 여러 랜섬웨어 운영자들과도 손을 잡았죠. 즉 공격자들은 생태계에서 거미줄 같은 관계도를 가지고 있으며, 단체가 와해되더라도 갈 곳이 얼마든지 있다는 뜻입니다.”

랜섬웨어, 점점 매력을 잃어
한 편 랜섬웨어의 전성기가 점점 끝나간다는 신호들이 나오고 있다. 랜섬웨어 운영을 해 봐야 수익도 예전만 못하고, 암호화폐의 가치도 떨어지고 있어 수익에는 더더욱 좋지 않은 영향을 미치며, 랜섬웨어를 노리는 사법 기관들의 활동도 거세지고 있기 때문이다. 또한 피해자들도 예전만큼 호락호락 당해주지 않는다. 백업 기술과 활용 능력도 발전하고 있으며, 랜섬웨어 공격자들에게 돈을 주면 안 된다는 분위기도 형성되고 있다.

보안 업체 앱노멀시큐리티(Abnormal Security)의 분석가 크레인 하솔드(Crane Hassold)는 “이런 공조 작전의 성공이 장기적으로 큰 성공을 거두지 못한다고 하더라도 랜섬웨어의 인기가 식어가는 분위기에 힘을 더할 것”이라고 예측한다. “점점 더 랜섬웨어의 인기가 떨어지게 하려면 이런 공조 작전이 계속해서 성과를 거두어야 합니다. 단기적인 성과만 거둔다고 하더라도 말이죠.”

한편 하솔드는 “랜섬웨어 공격자들이 점점 BEC 공격으로 옮겨갈 것”이라고 예상하고 있다. “BEC 공격은 랜섬웨어 이상의 수익을 거둘 수 있는 공격이며, 암호화폐에 의존하지 않아도 된다는 장점이 있습니다. 게다가 BEC 공격도 점점 고급 멀웨어를 동원하게 되면서 공격 효율이 높아지고 있지요. 이쪽 방면으로의 가능성이 무궁무진하다고 볼 수 있습니다.”

3줄 요약
1. FBI, 오랜 시간 하이브 랜섬웨어의 공격 인프라에서 잠복 근무.
2. 잠복하면서 복호화 키 계속 빼돌려 피해자들을 구제.
3. 랜섬웨어의 인기는 사이버 범죄자들 사이에서 점점 식어가는 중.
[국제부 문가용 기자(globoan@boannews.com)]

오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
	챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
	챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
	챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
	챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
	보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
	기타(댓글로)