테크레시피

랜섬웨어 개발자가 말하는 사이버 범죄 현황

최근 랜섬웨어를 이용한 기업과 정부기관에 대한 공격이 활발해지고 있으며 2021년 5월에는 미국 최대 석유 파이프라인 운영사인 콜로니얼파이프라인(Colonial Pipeline)과 세계 최대 육류 가공 업체 JBS 등 생활에 깊이 관계하는 기업이 잇따르고 랜섬웨어 공격 피해를 받았다. 2021년 7월에는 이런 공격에 사용된 랜섬웨어 기능을 결합해 강력한 랜섬웨어를 개발했다고 주장하는 사이버 범죄 그룹이 블랙매터(BlackMatter) 범죄 포럼에 등장해 인터뷰를 실시해 눈길을 끈다.

2021년 7월 사이버 범죄 포럼에 등장한 블랙매터는 포럼 게시물에서 연간 1억 달러 이상 수익을 올리고 있는 기업을 공격 대상으로 하고 있다고 선언하고 있다. 하지만 보도에 따르면 현재 블랙매터 공격은 1건도 확인되지 않았다. 블랙매터가 등장한 이후 블랙매터에 의한 사이버 공격은 1건도 확인되지 않았다며 새로 개발한 랜섬웨어를 언제부터 개발하기 시작했냐고 물었다. 블랙매터는 랜섬웨어 개발은 6개월 전부터 시작했으며 이미 여러 기업과 몸값 협상을 벌이고 있다면서 블랙매터는 협상이 실패하지 않는 한 공격을 공표하지 않는다고 답했다.

블랙매터에 따르면 새로 개발된 랜섬웨어는 주로 3가지(LockBit, REvil, Darkside) 랜섬웨어를 추천하고 있다. 블랙매터는 록비트의 경우 코드 자체는 뛰어나지만 실제로는 그다지 좋게 작동하지 않는다며 비유하자면 엔진은 우수한데 내장이 빈약한 일본차와 같다면서 록비트 코드 구현 방법 일부를 도입하고 있다고 밝혔다. 또 레빌은 전반적으로 높은 실적을 가진 랜섬웨어라며 레벨을 참고 랜섬웨어 파워셀(Power Shell) 버전을 개발했다고 밝혔다. 다크사이드는 뛰어난 코드 기반과 재미있는 웹파트를 갖추고 있다며 다크사이드 암호화 기능은 상당히 도움이 됐다는 말로 랜섬웨어별 장점을 설명했다.

이들 3종 랜섬웨어 중 다크사이드를 개발한 범죄 그룹은 콜로니얼파이프라인을 공격한 며칠 뒤 소유하고 있던 암호 자산을 누군가에 의해 미지의 게좌로 송금됐다며 페점을 선언했다. 또 2021년 7월 13일에는 JBS를 공격한 레벨을 개발한 범죄 그룹 웹사이트가 갑자기 폐쇄됐다. 이 웹사이트 폐쇄는 바이든 미국 대통령이 랜섬웨어 공격에 대한 대책을 테러 대책과 동등한 우선순위로 자리매김한 것이나 바이든 대통령이 푸틴 러시아 대통령에 대해 사이버 공격 금지 구역을 나타낸 것 등이 영향을 줬다고 할 수 있다.

이런 상황을 근거로 보면 일부에선 최근 다크사이드와 레빌을 개발한 주요 사이버 범죄 그룹이 업계에서 사라진 일련의 움직임은 미국과 러시아에 의한 사이버 공격에 대한 대응 변화에 영향을 받았다고 지적하고 있다. 이런 분위기에 대해 묻자 블랙매터는 주요 사이버 범죄 그룹이 철수한 건 공격 대상과 세계 지정학적 상황과 관련이 있다고 생각한다며 하지만 블랙매터는 공격 대상을 엄선해 중요한 인프라 시설이나 의료기관, 정부 기관에 대한 공격은 하지 않는다며 따라서 정부 주목을 피할 수 있다고 생각한다고 답했다. 콜로니얼파이프라인이나 JBSQ에 실행한 공격에 대해 어떻게 생각하냐는 질문에 대해선 그들에게 공격은 다크사이드와 레벨이 철수하는 중요한 요인이 됐다고 생각한다며 블랙매터 내에선 이런 공격을 금지한다는 말로 공격 대상을 엄선한다는 점을 강조했다.

블랙매터가 관리하는 사이트에는 발전소와 수도국 등 인프라 시설, 석유와 가스 파이프라인, 제련소, 방위 시설, 비영리단체, 정부기관 등에 대한 공격을 하지 않는다는 취지를 기록하고 있기도 하다. 이런 조건을 감안해 최종 공격 대상을 결정하는 판단 기준에 대해 묻자 블랙매터는 대상을 공격해 우리엑 악영향 여부를 종합 판단해 공격 대상을 결정하고 있다고 답했다.

마지막으로 블랙매터는 자신들에게 비밀은 없으며 조국을 믿고 가족을 사랑하고 아이를 위해 돈을 벌고 있다고 말했다. 블랙매터 거점은 분명하지 않지만 인터뷰는 러시아어로 실시했다고 한다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사