미국 사법부가 2022년 4월 7일 러시아 사이버 범죄 조직 FIN7에 소속된 2,000만 명 이상 신용카드 번호가 도난당한 사건에 관여했다며 2019년 체포된 우크라이나 남성에 대해 징역 5년형이 부과됐다고 발표했다.
이번에 법원에서 징역 5년형을 받은 건 FIN7에서 펜테스터로 불리던 해커인 데니스 이아르막(Denys Iarmak). 그에게 판결을 한 미국 워싱턴주 서부지구 연방 지방법원 측은 2022년 2월부터 러시아에 의한 침공을 받은 우크라이나를 서방이 지원하고 있다고 언급했다. 무엇보다 그가 약탈을 하고 있던 국가가 그의 조국, 민족, 가족을 지키기 위한 국제적 노력을 주도하고 있다고 강조한 것.
이 남성이 소속된 FIN7으 미국에만 3,600개 이상 시설에 위치한 6,500대 이상 판매 정보 관리 기기에서 모두 2,000만 건 이상 카드 기록을 훔친 것으로 알려져 피해자에게 가져온 손해액은 10억 달러를 웃도는 것으로 추정되고 있다. 또 영국과 호주, 프랑스 등에서도 FIN7에 의한 해킹 피해가 발생하고 있다고 한다.
이아르막은 2016년 11월경부터 2018년 11월까지 FIN7에서 활동해 악성코드가 담긴 피싱 메일을 제작해 피해자 네트워크 침입해 결제 카드 정보 등 데이터 추출에 직접 참여한 뒤 2019년 11월 태국 방콕에서 체포됐다. 그는 처음에는 종신형이 될 수 있었지만 법원은 그가 기소된 범죄 27건 중 2건만 추궁 대상으로 삼고 형기도 5년으로 대폭 단축했다.
이 남성 외에도 FIN7 우크라이나 구성원 남성 2명이 2021년 각각 징역 10년과 7년을 선고 받는 등 미국 법원에서 심판을 받은 FIN7 구성원은 모두 3명이다.
FIN7은 이 남성 체포 이후에도 활동을 계속하고 있으며 2022년 1월에는 랜섬웨어 USB 메모리를 이용한 공격을 벌이고 있다며 FBI가 미국 기업에 경고했다. 관련 내용은 이곳에서 확인할 수 있다.