국제 공조의 대대적인 성공 이후 1주일 만에 돌아온 록빗

지난 주 록빗이 테이크다운 됐을 때, 그 누구도 록빗이 완전히 사라질 거라고 믿지는 않았다. 하지만 1주일 만에 아무렇지 않게 살아올 것 역시 예상하기 힘들었다.

[보안뉴스 = 네이트 넬슨 IT 칼럼니스트] 록빗 랜섬웨어 갱단이 피해자들의 정보를 유출하고 협박하기 위한 사이트를 다시 한 번 가동시켰다. 국제 공조로 이들의 공격 인프라가 크게 손상을 입고 두 명의 관계가 체포되고서 불과 1주일이 지난 시점에서였다.

[이미지 = gettyimagesbank]

지난 2월 19일 FBI와 유로폴, NCA 등 여러 국가의 사법 기관들은 크로노스 작전(Operation Cronos)을 통해 록빗을 겨냥하여 대대적인 ‘무력화 공격’을 실시했다. 록빗이 공격에 사용하던 인프라 중 3개국에 있던 것이 폐쇄됐고, 이 과정에서 수십 개의 서버들 역시 압수됐다. 이 서버들을 통해 사법 기관들은 록빗에 대한 소중한 정보들을 다수 수집할 수 있었고, 록빗이 공략했던 피해자들에 대해서도 파악할 수 있었다.

복호화 키도 1천 개 이상 확보되었기 때문에 여러 피해자들을 돕는 것도 가능했다. 피해자들을 압박하던 록빗의 웹사이트는 물론 200개가 넘는 암호화폐 계정들 역시 사법 기관들의 손으로 넘어갔다. 두 명의 러시아인이 체포되기도 했다. 그래서 NCA는 록빗이 “완벽히 침해된 상태”라고 자랑하기도 했다. 다만 “록빗 무력화의 작업은 앞으로도 이어질 것”이라고 덧붙였다.

그렇다고 해서 크로노스 작전이 애초에 록빗을 완전히 일망타진한 것은 아니었다. 록빗이 상당한 타격을 받은 건 사실이었으나, 백업 시스템은 온전했고, 이것만 있어도 록빗은 얼마든지 다시 활동을 시작할 수 있었다. 그리고 실제로 그런 일이 일어났다. 전 FBI 특수요원이었던 마이클 맥퍼슨(Michael McPherson)은 “록빗이 심대한 타격을 입은 것도 사실이고, 그럼에도 죽지 않은 것도 사실”이라며 “그 누구도 요즘 국제 공조로 인한 해킹 조직의 와해 소식을 두고 ‘그 조직 망했네’라고 생각하지 않는다”고 짚는다.

한 풀 꺾인 록빗 리더?
결국 1주일만에 록빗은 돌아왔다. 랜섬웨어 협상 전문가이자 보안 업체 그룹센스(GroupSense)의 CEO인 커티스 마인더(Kurtis Minder)는 “록빗의 리더는 꽤나 자존심이 세고 에고가 강한 타입”이라고 설명한다. “이쪽(랜섬웨어)에서 활동하는 사람들이 다 그렇긴 하지만 록빗 갱 리더도 자신의 이야기를 꽤나 과장하기를 좋아하고, 약한 모습 보이는 걸 싫어합니다.” 그런 록빗 리더이지만 이번에 돌아왔을 때는 꽤나 부드러워지고 한풀 꺾인 모습이었다. 그가 새롭게 마련된 록빗 웹사이트를 통해 공개한 내용은 다음과 같다.

“저의 개인적인 해이와 무책임으로 PHP 취약점을 제 때 패치하지 못했습니다. 그 결과 외부에서 록빗 공격 인프라에 침투하도록 허용하게 됐고, 두 개의 주요 서버들이 실제 공격에 당하게 됐습니다.” 여기서 말하는 PHP 취약점은 CVE-2023-3824로 CVSS 기준 9.8점으로 평가됐던 것이다. 사법 기관들은 이 취약점을 통해 “해커를 해킹했다”고 발표했었다.

하지만 나머지 다른 서버들에는 백업 블로그가 있었고, 취약한 PHP가 설치되어 있지 않았다고 그는 밝혔다. “그렇기 때문에 이전에 공격에 당한 기업들로부터 훔친 데이터는 계속해서 보관할 수 있었습니다. 그리고 그 데이터를 바탕으로 협박용 웹사이트를 다시 만들어 이전처럼 운영하는 것도 가능했습니다.” 복구된 록빗 사이트에는 현재 수많은 피해자들의 이름이 올라와 있다.

실제로 어떤 피해를 받았는가?
지난 수년 동안 여러 국제 수사 기관들은 각종 랜섬웨어 조직들을 소탕하고 추적하고 무력화하는 노력을 기울여 왔다. 하이브(Hive), 블랙캣(BlackCat), 라그나로커(Ragnar Locker) 등이 걸려들었고 크고 작은 피해를 입었다. 그럼에도 불구하고 랜섬웨어는 계속해서 증가하고 있다. 심지어 국제 공조의 직접적인 표적이 되고서도 살아남은 랜섬웨어 조직이 다수다.

맥퍼슨은 “조직에 따라 부활하기도 하고 영원히 사라지기도 한다”며 국제 공조 이후에 일어나는 일에 대해 설명한다. “예를 들어 하이브의 경우, 아직까지도 돌아오지 못하고 있지요. 블랙캣은 여전히 활동하고 있고요. 록빗의 경우, 사법 기관들이 완전 무력화나 제거에까지 이르지는 못했어요. 그러니 1주일만에 돌아온 것이겠지요. 하지만 록빗이 입은 피해는 제법 컸을 거라고 봅니다.”

그러면서 맥퍼슨은 사업을 같이 하던 파트너들을 상당수 잃었을 거라고 강좋나다. “이번 공조를 통해 일부 록빗 파트너들 정보가 사법 기관에 넘어갔는데요, 이 때문에 록빗은 사업 파트너를 제법 잃었을 겁니다. 이제 그 파트너들 중 누가 FBI와 결탁해 정보를 넘겨도 이상하지 않은 상황이 됐거든요. 파트너가 보기에도 마찬가지죠. 록빗이 파트너들을 잘 보호할 것이라고 생각하기 힘듭니다. 서로가 서로를 믿을 수 없는 것이죠.”

하지만 그것만으로 록빗을 완전히 꺾어내지는 못할 것이 당연하다. 국제 공조를 통한 단기적인 처방도 필요하지만 장기적인 해결책도 필요하다. “피해자들이 랜섬웨어 조직들에게 돈을 내기 때문에 랜섬웨어가 장기적으로 살아남는 겁니다. 피해자들이 돈을 내는 건 사회적 손실이기도 합니다. 공격자들에게 돈이 들어가지 않을 수 있도록 정부가 나서서 방안을 마련해야 합니다. 그저 피해자들에게 돈을 내지 말라고 강제하는 것 이상의 조치가 필요합니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)