현상금 190억원 걸린 악질 랜섬웨어 조직, 미국 제재망도 빠져 나가

러시아와 연계된 국제 랜섬웨어 범죄집단 ‘콘티’
의료조직, 학교 가리지 않고 공격해 악명 높아
우크라이나 침공 관련 미 제재자 명단에서 빠져
사이버범죄 단속 어려움 노출, 피해기업들 혼란

병원이나 학교 등 대상을 가리지 않고 ‘막가파식’ 사이버 공격을 감행해 국제적으로 악명 높은 사이버 범죄조직이 미국의 촘촘한 경제 제재망도 빠져 나간 것으로 나타났다.

미국의 탐사전문매체 프로퍼블리카(PROPUBLCA)는 ‘콘티(Conti)’로 널리 알려져 있는 랜섬웨어 범죄조직이 러시아의 우크라이나 침공과 관련해 미국 재무부가 착수한 경제 제재를 피한 것으로 밝혀졌다고 최근 보도했다.

랜섬웨어(Ransomware)는 경찰청 사이버 수사국의 정의를 보면 “몸값(Ransom)과 소프트웨어(Ware)의 합성어로, 악성코드의 일종이다. 이에 감염되면 컴퓨터 시스템에 접근이 제한되거나 저장된 문서나 사진․동영상 파일이 암호화돼 사용할 수 없게 되며, 해커는 암호 해제의 대가로 금품을 요구한다. 랜섬웨어는 2005년 본격적으로 대량 출몰하기 시작하였으나 최근 들어 전 세계적으로 발생이 급증하고 있는 상황이다.”

‘콘티’는 대표적인 랜섬웨어 범죄조직으로 지난 2020년 중반부터 지금까지 1000곳 이상을 공격해 1.5억 달러의 몸값을 뜯어낸 것으로 미국 연방수사국(FBI)이 추산하고 있다. 이들은 피해자의 데이터도 훔쳐 다크웹(dark web, 특정 소프트웨어를 이용해야 접속할 수 있는 사이트)에 일부를 게시하고 돈을 주지 않으면 나머지도 공개한다며 위협하는 수법도 쓴다.

미 국무부는 이에 따라 ‘콘티’ 관계자들을 잡기 위해 이달 초 현상금 1천 5백만 달러(우리돈 약 191억원)를 걸었다. 콘티는 지난달 12일부터 코스타리카의 공공기관 27군데를 공격해 일부 기능을 마비시키면서 돈을 요구하고 있어 결국 정부측이 국가비상사태를 선포했다.

러시아가 우크라이나를 침공한 다음 날인 지난 2월 25일 콘티는 이들이 이용하는 다크웹 사아트에서 “러시아 전폭 지원”을 맹세하며 ‘러시아의 적들’에 대해 “주요 기반시설을 타격하기 위해 모든 가용자원을 동원할 것”이라고 선언했다. 사이버 범죄조직으로선 이례적인 정치적 성명이었다.

콘티는 러시아 푸틴 대통령 체제와의 동맹이 문제를 야기할 수 있다는 점을 감안한 듯 이후에 어조를 바꿨다. 후속 성명에서 이들은 “우리는 어떤 정부와도 동맹을 맺지 않으며 진행중인 전쟁을 비난한다”면서도 미국이 만일 “러시아어를 쓰는 지역”을 목표로 사이버전쟁 수단을 쓴다면 보복할 것이라고 주장했다.

이에 대해 프로퍼블리카는 콘티가 미국의 경제제재를 염두에 둔 것으로 보인다고 짚었다. 그러나 콘티의 이런 중립적인 체하려는 시도는 먹혀들지 않았다. 러시아의 침공이 시작된 지 며칠 지나지 않아서 ‘콘티 리크스(@ContiLeaks)’라는 이름을 쓰는 트위터 사용자가 6만 개의 콘티 내부 메시지를 폭로했다.

이 메시지들엔 콘티가 러시아의 정보 조직인 연방보안국(FSB, 옛 KGB)와 연계된 증거들이 담겨 있었고 이 조직의 보스가 ‘푸(Pu, 푸틴을 가리키는 것으로 보임)’를 위해 일한다는 내용도 있었다. 푸틴의 가족과 다른 러시아 관리들, 올리가르히(oligarch, 러시아 신흥재벌들), 은행과 기업들이 전례 없이 강도 높은 미국의 제재를 받고 있지만 콘티는 제재를 맞지 않았다.

미국 재무부(Treasury Department)는 언제든 랜섬웨어 작동에 대해서는 제재에 나서며, 미국민들은 법적으로 몸값(ransom)을 지불하지 못하도록 돼 있다. 콘티가 이런 제재를 받지 않았다는 것은 광범위한 피해를 감안하면 놀라운 일이라고 프로퍼블리카는 지적했다.

그러나 사실 지난 수년간 미국 피해자를 공격한 랜섬웨어 범죄 집단의 극히 일부만이 미 재무부 산하 해외자산통제실(Office of Foreign Assets Control, OFAC)이 결정하는 제재자 명단에 올랐다. 랜섬웨어 집단을 제재명단에 올리는 것은 보기 보다 단순하지 않다고 전현직 미 재무부 관리들은 말했다.

OFAC는 대개 정보기관이나 경찰, 언론 보도 등을 통해 얻은 정보에 의존한다. 랜섬웨어의 경우 OFAC은 범죄 관련 기소장에 나온 증거들을 이용하는데 이런 증거들은 확정되기 까지 몇 년이 걸릴 수도 있다. OFAC의 집행부서 부책임자인 마이클 리버만(Michael Lieberman)은 “책임소재 가리기(attribution)가 매우 어렵다”고 지난해 한 컨퍼런스에서 인정했다.

랜섬웨어 집단은 제재와 법집행을 피하기 위해 지속적으로 이름을 바꾼다. 지난 20일 '블리핑컴퓨터(Bleepingcomputer)'라는 기술사이트는 콘티가 "공식적으로 문을 닫았다"고 보도했다. 관련 기사에서 이 매체는 콘티 사이트와 서버의 현재 상황을 자세히 전했으나 이들이 활동을 멈췄는지에 대해선 모호하다고 밝혔다.

랜섬웨어 범죄집단의 이런 행태는 제재가 어려운 또 다른 이유가 된다. 한 집단을 배후 인물을 지목하지 않거나 다른 특징을 공개하지 않고 제재대상 명단에 올리는 것은 선의의 피해자를 만들수 있다. 예를 들어 “콘티”라는 성을 가진 은행 고객이 제재대상 인물로 간주돼 은행과 함께 의도하지 않은 법적 조치를 받을 수 있다고 마이클 파커(Michael Parker) 전 OFAC 집행부 직원은 말했다. 그러면 정부는 이를 풀어야 한다.

제재 부과로 연방 정부가 오히려 기업이나 병원 같은 피해 조직을 무력화할 수도 있다. 영업 비밀이나 다른 민감한 정보가 노출될 수도 있고 잠긴 파일을 복구할 수 없다면 문을 닫아야 할 수도 있다. 제재가 없는 상태라도 피해자들은 곤경에 처한다.

랜섬웨어 피해자들을 대신하는 미국의 변호사와 협상가들은 콘티의 지난 2월 선언이후 몸값을 지불하지 않았다고 한다. 그들은 상황이 혼란스럽다고 말한다. 랜섬웨어 피해자들과 종종 일해온 변호사 마이클 워터스(Michael Waters)는 “특정 랜섬웨어 집단을 OFAC리스트에 올린다면 일이 더 쉬울 것”이라고 말했다. “그러면 우리는 그저 그런 집단에 돈을 안주면 된다. 그러나 상황은 훨씬 더 불확실하다”고 그는 말했다.

일부 미국 피해자들은 싸이퍼(Cyfer)라는 캐나다 중개 회사를 통해 콘티에 몸값을 계속 줘왔다. 싸이퍼의 CEO 다니엘 토보크(Daniel Tobok)는 우크라이나 전쟁 이후 십여명의 피해자를 대신해 콘티에 돈을 지불했다면서 피해자 4분의 3이 미국인이라고 말했다. 그는 일부 회사의 경우 콘티에 돈을 주지 않았다면 폐업을 했을 것이라고 말했다.

투명성 부족은 피해자들이 그들을 공격한 집단이 제재 범주에 들어가는지를 알아내야 하는 짐을 떠안게 한다. 예를 들어 해당 랜섬웨어 공격 집단이 북한이나 이란 또는 러시아의 FSB에서 공작을 하는지를 판단하는 일은 “너무 너무 어렵다”고 피해자들을 대변하는 제재 전문 변호사 라이언 페이히(Ryan Fayhee)는 말했다. 그는 해킹그룹이 마치 전통적인 기업이고 그저 범인을 가려내기만 하면 되는 것처럼 보이지만 일이 그렇게 진행되지는 않는다고 설명했다.

미국 정부는 몸값 지불을 하지 말라고 권해왔고 최근엔 랜섬웨어 피해자들과 함께 대응작업을 하도록 전문가를 파견하고 있다. 미 재무부는 지난 2년간 사이버 범죄자들에게 몸값을 지불하는 회사는 OFAC 규정을 위반하는 것이며 만일 몸값을 부득이하게 지불한 경우 빨리 OFAC에 신고하면 정상을 참작해 준다는 지침을 발표했다.

과거의 피해자들은 사이버공격을 받은 사실이 공개되거나 회사가 오히려 조사를 받을까봐 FBI에 신고하기를 꺼려해 왔기 때문에 미 재무부는 이런 지침에 따라 경찰과 함께 대응하는 피해자가 늘어나기를 기대하고 있다. 그렇게 하면 기소와 제재도 확대할 수 있을 것으로 보고 있다.

이런 전략은 통하고 있다. 예전보다 많은 피해자들이 경찰에 사건을 신고하고 있다. 정부 지침에 따라 보험사들이 계약자들에게 사건을 FBI에 보고한 증거를 달라고 요구하고 있다. 변호사 마이클 워터스는 함께 일하는 보험사들이 '코브웨어(Coveware)'와 같은 협상 회사가 내리는 결정을 중요하게 생각한다고 전했다.

코브웨어의 설립자인 빌 시걸(Bill Siegel)은 콘티의 러시아 지지 선언이후 이 집단에 몸값 지불을 중단했다고 밝혔다. 코브웨어는 다만 콘티와의 협상은 계속해 피해자들이 상황을 판단할 수 있는 시간을 벌고 홍보전략과 정보 유출 피해를 알리는 절차를 준비하도록 했다.

콘티는 메시지 유출에 따라 활동이 저조했다가 지난달 코스타리카 정부에 대한 대대적인 공격을 시작했다. 그러나 이 공격은 콘티가 자신들의 온라인 기반을 보호하는데 목적이 있는 것으로 보인다. 우크라이나에서의 러시아 군대와는 다르게 콘티는 향후 공격을 준비하기 위해 전략적 후퇴를 하고 있는 것으로 관측된다고 프로퍼블리카는 분석했다.

AI타임스 정병일 위원 jbi@aitimes.com

[관련 기사]AI를 활용한 사이버 공격, 증가 불가피해 대책 필요

[관련 기사]구글, 랜섬웨어 해커 잡아 냈다

[관련 기사]러시아-우크라이나, 총성 없는 ‘사이버 전쟁’ 돌입