보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

5개 랜섬웨어 조직과 일해 왔던 범죄자, 자랑하다가 자기 정체까지 드러내

입력 : 2023-11-09 15:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
지난 3~4년 동안 랜섬웨어 업계에서 가장 활발히 활동해 왔던 사이버 범죄자인 파넷워크가 자신의 업적을 떠벌리다가 선을 넘어버렸다. 그걸 깨닫고 지금은 잠적해 있는데 언제까지 그런 상태로 있을 거라고 보이지는 않는다.

[보안뉴스 문가용 기자] 어느 날 보안 업체 그룹IB(Group-IB)의 보안 연구원들이 다크웹을 조사하던 때의 일이다. 그들 눈에 랜섬웨어 사업에 합류하라는 광고가 들어왔다. 광고를 클릭해 입단 신청을 했다. 그러자 면접을 보자는 연락이 왔다. 요즘 가장 활발히 활동하는 랜섬웨어 단체 중 하나의 멤버라고 스스로 주장하는 사람으로부터였다. 알고 보니 최소 다섯 개의 랜섬웨어를 운영하고 있던 인물이었다.

[이미지 = gettyimagesbank]


그룹IB는 이 인물과 접선했고, 곧 면접을 진행했다. 결론부터 말하자면, 스스로를 파넷워크(farnetwork)라는 이름으로 소개한 이 사이버 범죄자는 결국 자기 입으로 너무나 많은 정보를 제공함으로써 덜미가 잡히게 됐다. 파넷워크는 그가 사용하던 여러 개의 온라인 ID 중 하나였다. 그는 징고(jingo), 제이에스웜(jsworm), 라즈브랫(razvrat), 피파루카(piparuka), 파넷워킷(farnetworkit)이라는 이름으로도 활동하고 있었다.

파넷워크는 그룹IB의 전문가들에게 어떤 해킹 공격을 할 수 있느냐고 물어보고 시연해 달라고 요청했다. 그룹IB는 권한 상승 공격을 실행시키고 랜섬웨어를 활용해 파일을 암호화 했으며 협박 편지를 작성해 남기는 것까지 시연했다. 파넷워크는 감동을 받았고, 마음을 활짝 열었다. 그러면서 입도 활짝 열었다.

그룹IB는 그로부터 여러 가지 정보를 얻을 수 있었다. 파넷워크는 여러 기업의 네트워크에 이미 침투해 있는 상황이었고, 다음 단계를 실행할 마음이 있는 파트너들을 모집하고 있었다. 즉 자신이 열어둔 문으로 들어가 권한을 상승시키고 랜섬웨어를 사용해 피해를 최대화시킬 수 있는 ‘능력자’가 필요했던 것이다. 그는 랜섬웨어 공격을 실제로 실시하고 피해자를 협박하는 쪽은 65%, 공격 인프라인 봇넷의 소유주는 20%, 랜섬웨어 페이로드를 개발해 제공하는 쪽은 15%로 수익을 나누자고 제안했다.

그러면서도 대화는 이어졌고 그룹IB는 결국 파넷워크로부터 얻어낸 정보를 바탕으로 그가 2019년부터 어떤 사이버 범죄를 저질러 왔는지를 파악하고 또 확인할 수 있었다. 마음과 입이 열린 그는 자신이 그 동안 쌓아온 업적(?)을 자랑스럽게 떠벌렸다. 네피림(Nefilim)과 카르마(Karma), 하이브(Hive), 넴티(Nemty) 랜섬웨어 조직들과 어떤 활동을 이어왔는지부터, 랜섬웨어 공격 한 건으로 100만 달러를 벌어들이게 된 사건까지 전부 알려줬다.

그룹IB는 이런 이야기에 열광적으로 호응해 주면서 더 많은 이야기를 이끌어냈다. 그리고 그 정보들을 수집하고 정리해 파넷워크의 ‘이력서’를 일목요연하게 작성할 수 있었다. 그는 2019년부터 2021년 사이에만 유명 랜섬웨어 조직 네 곳과 연루된 활동을 펼쳤었다. 위에서 언급된 제이에스웜, 카르마, 넴티, 네피림이었다. 이 네 개의 랜섬웨어로 40개 이상의 조직과 단체들을 곤란하게 만들었다.

그리고 2022년 파넷워크는 노코야와(Nokoyawa)라는 서비스형 랜섬웨어 사업자와 손을 잡았다. 멤버와 파트너들을 광고로 모집한 것도 바로 이 노코야와 랜섬웨어 활동을 보다 적극적으로 하기 위해서였다. “그가 활동한 시기와 기간, 그리고 활동 범위와 피해 규모를 모두 비교해 보니, 랜섬웨어 업계에서 요 몇 년 동안 가장 왕성하게 활동한 것이 바로 이 파넷워크라는 인물임을 알 수 있었습니다.” 그룹IB의 설명이다.

결국 파넷워크에 대한 모든 일을 그룹IB는 공개했다. 수사 기관에도 정보를 넘겼다고 한다. 이 사실을 노코야와 랜섬웨어 운영자들도 알게 됐고 곧바로 사업을 접었다. 그리고 아직까지 노코야와는 조용하다. 파넷워크 역시 “랜섬웨어 사업에서 손을 떼고 은퇴하겠다”고 선언하고 사라졌다. 하지만 그룹IB는 이 말을 믿지 않고 있다. 분명 다른 이름으로 다시 등장할 거라는 게 그룹IB의 추측이다.

“파넷워크가 은퇴를 발표하긴 했지만, 그리고 노코야와도 사라지긴 했지만, 이것이 언제까지나 이어질 현상은 아닐 겁니다. 은퇴를 발표하고 그 약속을 그대로 지킨 사이버 범죄자는 거의 없습니다. 은퇴는 그저 눈 속임일 뿐, 범죄자들은 얼마 지나지 않아 전혀 다른 이름으로 활동을 시작합니다. 돈 맛을 한 번 본 자들이 그걸 쉽게 포기할 리 없습니다.”

3줄 요약
1. 지난 3~4년 동안 5개 랜섬웨어 그룹에서 활동을 해 온 인물 발견됨.
2. 이 인물은 파트너를 모집하면서 자신의 행적을 낱낱이 자랑함.
3. 그렇게 정체가 드러나자 은퇴를 선언하고 숨어버림.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)