보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

록빗과 블랙캣이 흔들리자 RaaS 시장에 스타트업들이 늘어서기 시작

입력 : 2024-03-21 14:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국제 공조로 인해 잠시 사라진 사이버 범죄 조직들은 어떤 일을 겪을까? 되살아나는 게 보통이니 국제 공조는 사실상 실패로 봐야 할까?

[보안뉴스 문가용 기자] 인지도 높은 랜섬웨어 패밀리들이 연달아 위기를 겪고 있다. 특히 록빗(LockBit)과 블랙캣(BlackCat)은 국제 공조로 와해될 위기에 봉착했고, 일부 구성원들은 체포되기도 했다. RaaS 산업에서 가장 큰 영향력을 발휘하던 두 그룹이 갑자기 휘청거리기 시작했는데, 그러면서 다크웹 전체 혹은 해킹 시장 전체에서 지각 변동이 일어나는 중이다.

[이미지 = gettyimagesbank]


유럽과 미국의 사법기관들은 요즘 RaaS 생태계를 다잡기 위한 노력의 수위를 높이고 있다. 그러면서 일부 악명 높은 단체들의 활동이 위축되기도 한다. 하지만 완전히 사라지는 사례는 극히 드물다. 사이버 범죄 단체들은 시간만 조금 주어진다면 금방 되살아나고 또 되살아난다. 그래서 일각에서는 국제 공조가 큰 쓸모가 없으며, 괜한 행정력 및 세금 낭비라는 소리가 나오고 있기도 하다.

최근 보안 업체 가이드포인트시큐리티(GuidePoint Security)는 현대의 랜섬웨어 생태계를 조사해 보고서를 발표했다. 그 결과 주요 RaaS와 계약을 맺고 실제 공격을 저질렀던 세력들이 유명 RaaS를 기피하고 덜 알려진 조직들을 선호하기 시작했다는 결과가 나왔다. 가장 중요한 이유는 ‘신뢰’가 깨졌다는 것이다. 가이드포인트의 연구 수석인 드류 슈미트(Drew Schmitt)는 “이것이 랜섬웨어 생태계를 와해시키는 데 중요한 힌트가 될지 모른다”고 지적한다.

록빗과 블랙캣, 신뢰를 잃다
슈미트는 “시장을 크게, 그러므로 대강, 보기만 하면 사법 기관은 실패만 반복하고 있는 것처럼 여겨진다”고 말한다. “작전을 펼친다, 하지만 범죄자들은 활동을 이어간다, 딱 요렇게만 보이거든요. 그 사이에 있는 수많은 디테일들은 보지 못하지요. 그러니 실패했다고 비판하는 것이고요. 크게만 보고 비판하는 것 참으로 쉬운 일이고, 사람들은 대부분 그 쉬운 걸 쉽게 택합니다. 귀찮아도 조금 더 깊숙하게 들여다보면 다른 게 보일 텐데 말입니다.”

그러면서 그는 조금 더 깊게 봤을 때 “RaaS 그룹도 큰 부침을 겪고 있다는 걸 알 수 있다”고 강조한다. “RaaS 시장도 경쟁이 치열합니다. 덩치가 큰 그룹들은 그 덩치를 유지하기 위해 애를 쓰죠. 그런 상황에서 사법 기관의 표적이 되고 있다는 것만으로도 큰일이 됩니다. 완전히 망가지지 않더라도 사업을 이전처럼 운영하기 힘들어질 정도의 타격은 입죠. 일반 시장에서도 한 번 잃은 신뢰를 회복하기가 쉽지 않죠. 다크웹은 더 심합니다. 게다가 당하기까지 했다? 다시 살아난 게 별 의미가 되지 못할 정도로 심대한 피해를 입습니다.”

그렇기 때문에 되살아난 RaaS 조직들은 비굴하다싶을 정도로 저자세를 취하며 되돌아왔음을 알린다. 지난 12월 블랙캣이 국제 공조로 잠시 마비됐을 때, 블랙캣은 되돌아와 파트너들에게 매우 후한 할인부터 제공하느라 바빴다. 뿐만 아니라 공격 성공 시 돈을 나눠 가질 때조차 이들은 파트너들이 더 많은 돈을 가져가도록 분할 비율을 바꿨다. 심지어 기존 공격 금지 규정도 완화시켜 파트너들이 더 자유롭게 공격할 수 있도록 하기도 했다.

그런 후 한 파트너가 블랙캣 랜섬웨어를 활용해 ‘대박’을 터트렸다. 미국의 대형 의료 보험사인 유나이티드헬스케어(United Healthcare)로부터 2200만 달러를 뜯어내는 데 성공한 것이다. 그런데 블랙캣은 약속한 대로 이 돈을 나누지 않고 모든 것을 독차지 했다. 그러자 다크웹에서는 블랙캣에 대한 성토가 줄을 이었다. 속았다는 증언이 계속해서 나왔다. 하지만 블랙캣은 자신들이 일부러 그런 게 아니라 사법 기관에 당해 어쩔 수 없었다고 해명했다. 그러나 이것마저 거짓이라는 증거들이 파트너들에 의해 계속해서 발굴되었다. 이미 사법 기관에 당해 시장에서 신뢰를 회복하기 힘들다고 판단한 블랙캣이 마지막을 크게 한탕 벌인 것으로 현재는 분석되고 있다.

록빗의 경우에도 최근 국제 공조에 당하면서 큰 타격을 받았다. 공조에 참여한 사법기관 요원들이 일부러 록빗의 사이트를 그대로 활용해 록빗이 당했음을 떠들썩하게 광고한 것이 록빗의 신뢰를 훼손하는 데 크게 작용한 것으로 분석되고 있다. 게다가 사법 요원들은 “록빗과 함께했던 사람들의 정보도 득했고, 추적하고 있다”고 으름장까지 놓았고, 이는 록빗과 파트너십을 맺을 이유를 삭제하기도 했다. 그래서 록빗은 다시 돌아왔을 때 자신이 무엇을 잘못했는지를 시시콜콜 밝히고, 다시는 그런 실수를 저지르지 않겠다는 장문의 글을 올렸다. 파트너들에게 돌아오라고 애걸한 것이나 다름이 없다.

이 틈을 파고든 RaaS 스타트업들
결국 블랙캣이나 록빗 모두 살아나긴 했지만 예전의 그 모습이 아니라는 게 슈미트의 설명이다. “그러면서 RaaS 시장에는 거대한 공백이 생겼습니다. 그래서 지금은 이전까지 볼 수 없었거나 크게 영향력을 발휘하지 못했던 소규모 RaaS 그룹들이 그 자리를 꿰차기 위해 각축전을 벌이는 중입니다. 마치 특정 기술이 유행할 때 스타트업들이 난립하는 것과 비슷한 형국입니다. 이런 상황 자체가 기존 RaaS 강자들에게는 달갑지 않죠.”

그런 RaaS 스타트업 중 하나는 클록(Cloak)이다. 이들은 지금 랜섬웨어 성과금을 85:15로 나누겠다고 광고하면서 열심히 파트너를 모집하는 중이다. 심지어 초기 투자 금액이나 랜섬웨어 구비 금액도 요구하지 않는다. 메두사(Medusa)라는 ‘중견’ 조직의 경우 24시간 상담이 가능하다는 점을 내세우고 있으며, 최근에는 성과금 분할 비율을 70:30으로 조정했다가 경쟁이 심화되자 100만 달러 이상을 나눠야 하는 상황에서는 90:10을 적용하겠다는 파격적인 조건을 내걸었다.

랜섬허브(RansomHub)도 눈에 띈다. 이들은 신생 그룹인데 메두사처럼 러시아어로 구성된 다크웹 포럼에서 활동하고 있어 메두사의 직접적인 경쟁 상대로서 구도를 잡아가고 있다. 이들은 처음부터 파트너들과 90:10으로 나누겠다고 선언했으며, 이것이 메두사에 영향을 준 것으로 추정된다.

슈미트는 “요 몇 년 국제 공조가 여러 랜섬웨어 단체들을 흔들어놓으면서 시장의 분위기가 바뀌고 있다”고 설명한다. “원래는 랜섬웨어 개발자들이 힘이 더 셌고, 파트너들은 개발 능력이 없어 직접 공격을 실행하는, 일종의 블루칼라 노동자 같은 느낌이었습니다. RaaS가 조건을 제시하면 파트너들은 거기에 군말없이 따라야 했지요. 하지만 지금은 파트너들이 더 힘이 셉니다. 파트너가 아니라 고객에 가까워졌죠. 고객 하나라도 더 유치하기 위해 RaaS 사업자들이 꼬리를 흔들거리고 있습니다.”

이 ‘힘의 균형 변화’가 미칠 영향은 무엇일까? 슈미트는 “아직 다 예측할 수는 없다”고 말한다. “다만 RaaS 사업자들이 시장으로부터 받던 신뢰가 흐릿해지면서 주도권을 잃었기 때문에 판도가 바뀌긴 할 겁니다. 어떻게, 어떤 모양으로 바뀌느냐가 문제인데 이는 더 지켜볼 문제입니다. 국제 공조로 RaaS 시장의 신뢰 관계를 흔들었다는 것 자체가 성과라고 봐야 할 겁니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)