우크라이나 사태에 앞서 러시아가 다크웹 랜섬웨어 조직을 손 본 이유
러시아와 우크라이나의 사이버전쟁 보면 실제 전쟁 시나리오 예측 가능
회사처럼 조직체계 갖춘 랜섬웨어 해커조직, 한국 집중적으로 노리는 조직도 있어
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 3화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.
■ 곽경주 이사 안녕하세요 곽경주입니다.
[러시아의 레빌 랜섬웨어 조직 소탕 이슈]
□ 권준 국장 얼마 전에 저희 <보안뉴스>에서도 보도된 바가 있는데 다크웹 기반의 사이버 범죄조직들이 주로 러시아에서 많이 활동을 한다고 잘 알려져 있거든요. 그런데 얼마 전 러시아 당국에서 ‘레빌(Revil)┖ 랜섬웨어 조직원들을 소탕했다는 보도가 있었어요. 그것과 관련해서 알고 있는 사항들을 말씀을 해주신다면요?
■ 곽경주 이사 러시아에서 (사이버)범죄조직들이 많은 이유는 러시아에서 크게 관여를 안 하죠, 범죄조직들에 대해서.
□ 권준 국장 그동안 터치를 많이 안 해왔다?
■ 곽경주 이사 그러다가 시작점이 된 것이 조 바이든 (미국)대통령이 지난해 5월에 ‘다크사이드(DarkSide)’라는 랜섬웨어 조직이 있어요. 이름부터가 굉장히 다크한... 네, 조직인데요. 여기서 건드리지 말아야 할 것을 건드립니다. 미국 최대 송유관 운영사인 ‘콜로니얼 파이프라인(Colonial Pipeline)’ 라는 기업을 랜섬웨어로 공격하고. 여기 이 회사가 뭐냐면은, 석유나 가스 같은 것들을 실어 나르는, 수송하는 송유관을 운영하는 곳인데, 미국의 그 큰 대륙에 동부에 45%의 기름과 가스를 담당하고 있는 회사죠. 여기를 공격하면서 거의 국가급 재난 이슈가 터집니다. 기름값이 천정부지로 오르고 엄청나게 많은 사람들이 불편을 호소했죠.
그리고 나서 JBS라고 하는 세계 최대 규모 정육체인, 추수감사절 그럴 때 고기 소비가 많은데요. 그런 곳도 공격하게 되고, 그러면서 미국에서 랜섬웨어 그룹에 대한 대응을 “국가급 재난에 준하는”, “9.11 테러에 준하는 대응을 하겠다”라고 하면서 굉장히 발 빠르게 움직입니다.
그 다음날 즉시 다크웹에 해커들이 모여서, 취약점 같은 것들을 서로 공유하는 그런 포럼(Forum)들이 있는데, 그 포럼 운영자들이 일제히 “랜섬웨어 그룹들의 활동을 이 포럼에서 밴(ban)시키겠다” 즉, 없애버리겠다고 합니다. 실제로 그렇게 했고요. 다크웹에서 ‘램프(RAMP)’라고 하는 랜섬웨어 전용 포럼도 생기고 그랬었는데요. 그 이후로 ‘다크사이드’에 대한 수사, 이번에 ‘레빌’에 대한 수사, 그리고 그 중간 중간에 ‘클롭(CLOP)’ 랜섬웨어 조직 수사 같은 것들이 굉장히 빠르게 동시 다발적으로 이뤄지고 있고요. ‘클롭’ 같은 경우에는 우리나라에서는 커머셜 분야 E사를 공격하면서 굉장히 많이 알려진 조직이기도 합니다.
[러시아의 랜섬웨어 조직 소탕 이유]
□ 권준 국장 아무래도 ‘우크라이나하고 러시아하고의 갈등’ 때문에 미리 대비하기 위해서 ‘러시아에서 일단 미국의 손을 들어줬다’라는 이야기도 있는데요.
■ 곽경주 이사 안 그래도 이제 좀 전에 말씀드렸던 그 ‘RAMP’라고 하는 포럼에서 어떤 범죄자가 뭐라고 했냐면 푸틴 대통령이 바이든 대통령한테 굴복했다기보다 정치적인 이익이 있는 거죠. 말씀하신대로 (러시아가) 우크라이나와의 전쟁을 준비하고 전쟁 분위기를 고조시키고 있잖아요. 그런 상황에서 미국이나 나토(NATO)로부터의 긍정적인 반응을 이끌어내기 위해서 그런 정치적인 이익이 있겠죠.
[다크웹 랜섬웨어 조직 검거 방법
□ 권준 국장 랜섬웨어 그룹들은 주로 다크웹에서 활동을 하는데 어떻게 잡힐 수 있는 거죠?
■ 곽경주 이사 여기에는 굉장히 많은 기법들이 들어갑니다. 비트코인 추적부터 해서 그들이 서버 상에 하는 실수 같은 것들, 그리고 오펜시브(Offensive)한 방법이라고 하는데 좀 공격적인 것이죠. 공격적인 방법을 이용해서 그 조직들을 소탕하게 되는데 이게 사실 암암리에 이뤄졌었어요.
이런 부분들을 얘기하기가 굉장히 좀 민감하고 조심스럽긴 합니다만 미국에서는 작년에 대놓고 “랜섬웨어 조직들을 해킹해서 공격적인 방법으로 찾아냈다”고 그냥 보도를 해버렸어요. 그런 방법을 사용하고 있다는 것을 그냥 만천하에 알린 거죠. (러시아가) ‘레빌’도 그런 식으로 (공격)했을 겁니다.
그리고 ‘오신트(OSINT)’ 라는 방법도 있어요. ‘Open Source Intelligence’의 약자인데, 용어는 화려하지만 그냥 ‘구글링(Googling)’하고 ‘깃허브(Github)’하고 그 다음에 SNS에 ID값들 이런 것들 다 수집해가지고 거기서 연관성 분석을 하는 겁니다.
그래서 이제 랜섬웨어 조직들의 조직원들이 다크웹 포럼에서 사용하는 ID라든가, 중간 중간에 흘리는 이메일(e-mail) 같은 것들이 있고, 그리고 악성코드 분석을 하다보면은 랜섬웨어 피해자에게 “어디로 연락해라”라고 하면서 비트코인 주소를 주고, e-mail 주소도 주고 뭐 이런 것들이 있어요.
그 외에도 굉장히 많은 요소들이 있는데요. 그런 것들을 한꺼번에 모아서 연관 분석을 하면 신원을 파악할 수 있는 경우도 생기고, 가상자산(암호화폐) 거래소 같은 곳에서 이제 KYC(Know Your Customer)라고 하죠, 신원 확인을 하게 되는데. 보통은 좀 체계적인 범죄조직들은 그런 실수를 하지 않지만 가끔 이렇게 ‘어필리에이트(Affiliate)’라고 부르죠. 현실로 따지면 본점과 대리점이라고 할까요? 본점에서는 보통 그런 실수를 안 하는데, 대리점에서 신원을 식별할 수 있는 정보를 실수로 흘리는 경우들이 있어요, 외부에서 그런 것이 단초가 돼서 타고 타고 들어가서 잡아내기도 하고 그런 것입니다.
□ 권준 국장 결국 다크웹 (범죄)조직도 커지다 보니까 하청을 주는 경우도 있고 조직원들이 많아지다 보니까 관리가 제대로 안돼서 단서가 제공되는 경우도 있고, 이번에 특히 (러시아의 레빌 랜섬웨어) 소탕 작전에 ‘미국의 영향력이 좀 작용했다’고 봐도 되겠네요.
▲bmTV [곽경주의 다크웹 인사이드] 3화 시작 화면[자료=보안뉴스]
[러시아와 우크라이나의 사이버전]
□ 권준 국장 그래서 아까 말씀하셨지만 우크라이나하고 러시아가 지금 일촉즉발의 위기잖아요. 여기에 사이버전도 계속 이슈가 많이 된다고 얘기를 들었거든요.
■ 곽경주 이사 그 부분은 일단 지난해 크리스마스 시즌까지 거슬러 올라가야 되는데요. 그때 푸틴 러시아 대통령이 우크라이나 국경에서 러시아의 군사력 증강에 대해서 논의하기 위해서 미국 대통령이랑 전화 통화도 하고 계속 우크라이나 침공을 하기 위한 발판을 마련하기 위해서 뭔가 명분을 쌓아나가는 과정을 계속 거치고 있었어요.
그렇게 하다가 이번에 우크라이나의 정부 사이트들이 최소 70여개 정도가 한꺼번에 해킹을 당했었죠. 그러면서 이제 우크라이나 쪽에서는 “이것은 모든 증거가 러시아를 가리키고 있다”라고 하면서 “러시아가 우리(우크라이나)와 전쟁을 하려고 하는 것이다”라는 이야기들을 하고 있죠.
□ 권준 국장 전쟁을 시작하기 전에 사이버전부터 먼저 하는 것이 보통이잖아요? 전산망을 먼저 장애를 일으킨다든가...
■ 곽경주 이사 그리고 이번 우크라이나 건 같은 경우에 좀 특이했던 것이 정부 사이트를 해킹하고, 서버들을 해킹해서 거기다 악성코드를 심었는데 처음에는 랜섬웨어 같이 생겼어요. 피해 PC들 보게 되면 랜섬웨어처럼 ‘랜섬노트’라고 부르는 “비트코인 내놔라.” 이런 노트가 딱 뜨는데, 그것을 보면 비트코인 주소가 전부 동일합니다. 보통 랜섬웨어 조직이라면 피해자를 관리하기 위해서 비트코인 주소도 다 바꾸고 이러거든요. 근데 이번에는 비트코인 주소도 다 같았고 그리고 악성코드 자체를 분석해보면 이게 ‘복호화’ 기능이 없어요. 암호화를 했으면 복호화를 시켜야 되는데, 복호화가 없고 하드 드라이브 자체를 ‘와이핑(Wiping)’한다고 저희는 표현하거든요. 그냥 아예 지워버립니다. 이런 것으로 봐서는 랜섬웨어의 주요 목적인 금전 취득을 위한 범죄가 아니라 이것은 테러죠 테러.
□ 권준 국장 결국 돈이 목적이 아니라 ‘사이버 테러의 성격이 크다’고 볼 수 있는 거네요.
[다크웹 랜섬웨어 조직의 실태와 조직도]
□ 권준 국장 다크웹 기반으로 한 랜섬웨어 해커조직들이 되게 많아졌다는 말이죠. 주요 사건을 일으킨 조직별로 조직들의 실태와 조직도를 간단하게 설명해 주신다면?
■ 곽경주 이사 전반적으로 랜섬웨어 그룹들의 조직도는 제일 위에 총책이 있습니다. ‘마스터 마인드(Mastermind)’라고 저희는 부르는 그 총책이 있는데요. 총책이 하는 일은 ‘범죄 기획’이죠. 물론 그 조직 안에는 해킹을 하는 인력도 있고 그 다음에 랜섬웨어를 만드는 개발자들도 있고, 그리고 리쿠르터(Recruiter)도 있습니다.
인력들을 끌어 모으기 위해서 다크웹 포럼 상에서 홍보를 하고 다른 랜섬웨어 조직과 우리 조직 간에 비교를 해서 비교표를 올리기도 하고 “우리 조직이 피해 기업이 더 많고 우리가 더 개발을 잘한다”라는 식으로 홍보도 하죠. 거의 기업이라고 보시면 돼요.
그리고 최근에는 계속 콜라보를 하려고 하죠. 콜라보라고 하는 게 뭐냐면 총책이 있으면 이 사람들이 피해 기업들을 막 수백 개씩 트라이해 볼 수 없으니까 ‘어필리에이트’라는 대리점 같은 개념을 둡니다. 이 어필리에이트들이 대신 해킹을 하고 피해자를 물어오면 거기에 따른 수수료를 주는데, ‘레빌(REvil)’이라든가 ‘록빗(LockBit)’ 조직의 경우에는 수수료를 굉장히 많이 줍니다. 9:1이에요. 대리점에 9을 주고 본인들이 1을 갖고요. ‘록빗’과 같은 경우에는 8:2입니다. 그러니까 어필리에이트들이 돈 벌려고 많이 달라붙겠죠. 돈을 잘 버는 랜섬웨어 조직은 초반에 그런 셋업을 해두면 어필리에이트들이 계속 붙어요. 붙으면서 그 조직 자체가 커지고요. 그리고 ‘클롭’ 랜섬웨어 같은 경우에는 제가 이제 사고대응이나 분석을 하면서 느꼈던 점은 유럽이나 북미 쪽을 공격하는 클롭 랜섬웨어 조직이랑 아시아·한국을 공격하는 그 조직이 조금 다른 것 같습니다.
□ 권준 국장 따로 있다?
■ 곽경주 이사 공격 방식이나 악성코드 활용하는 것이나 그 다음에 데이터를 빼내어가는 방식이라든가 이런 것들을 보면 조직이 좀 나눠져 있는 것 같고 조직이 많이 전문화가 되어 있는 것 같아요. 사용하는 취약점 같은 것들 보면, ‘다크사이드’, ‘레빌’... ‘다크사이드’는 지금 종적을 감췄죠. 미국 때문에... ‘레빌’은 이번에 (러시아에게) 셧다운이 됐는데, 뭐 포럼안에서는 “얘네들이 진짜 셧다운이 된 거냐?” 이런 얘기들도 나오고요. ‘리브랜딩(Rebranding)’해가지고 다른 이름으로 나와서 ‘레빌’과의 연관성을 끊고 다르게 또 활동하기도 하고요. 뭐, 이런 경우도 많아가지고. 제 경험상으로 항상 총책을 뿌리째 뽑는 경우는 거의 못 봤거든요. 그 중에 잔당들은 남아서 또 다른 조직을 만들기도 하고요. 이 사람들은 우대받아요. 다른 조직으로 가면. “나 레빌 출신이야.” “랜섬웨어 개발했어.” “너 개발 잘하는구나?” 등등의 이유로 우대를 받습니다.
[한국 타깃으로 한 랜섬웨어 조직]
□ 권준 국장 한국을 타깃으로 해서 해킹하는 사람들도 있잖아요?
■ 곽경주 이사 있죠, 네.
□ 권준 국장 조직이 아니더라도 간단하게 혹시 소개해주실 만한 내용이 있으면...
■ 곽경주 이사 저희가 악성코드 분석을 할 때 주안점이 뭐냐면 이 악성코드를 만든 조직이 기존의 다른 조직과 연관성이 있느냐 그런 포인트로 많이 보는데요. 지난해 우리나라 증권사를 공격했던 랜섬웨어의 코드를 분석해보면 연관성이 거의 없습니다. 그리고 스스로를 ‘귀신’ 랜섬웨어라고 불렀어요.
랜섬노트를 보게 되면 경찰이나 금융위원회나 금융보안원이나 KISA(한국인터넷진흥원) 뭐 이런 곳에다가 알려주지 말라 그러거든요? 영어로 되어 있는데, 사용했던 취약점 같은 것들도 보게 되면 국내 환경을 잘 알고 있는 그런 것들을 가지고 공격을 하는 것을 봐서 국내에 특화되어 있다라고 볼 수 있을 것 같습니다.
[2022년 다크웹 활동 전망]
□ 권준 국장 올해도 벌서 한 달이 훌쩍 가고 있어요. 특이할 만한 사항 몇 가지를 전망해 주신다면?
■ 곽경주 이사 우선 다크웹 상에 있는 범죄자들이 뉴스나 이런 것을 잘 모니터링 하고 있거든요. 그래서 그들이 가장 관심 가질 것은 ‘내가 잡힐 것인가?’ 최근에 ‘레빌’도 잡혔고 ‘다크사이드’ 꽁무니 뺏고, 그리고 여러 ‘클롭’이라든가 랜섬웨어 조직들이 잡혀가면서요. 그런데 저희가 포럼을 모니터링 해보다보면 (사이버 범죄자들이) 그렇게 움츠러들지 않습니다. “어, 나 안해야지.” 이런 것보다는 “더 안잡히도록 해야지.” 이런 성향이 더 강해가지고 포럼 안에서도 보면 크게 두려워하는 부분도 있지만 두려워하지 않는 조직들도 많이 있거든요. 그래서 이들은 (해킹을) 좀 더 정교하게 할 것입니다.
□ 권준 국장 얘기 들어보면 러시아를 기반으로 활동하다가 “어디 뭐 나라를 옮겨야 되나?” 이런 얘기들도 나온다고 하더라고요
■ 곽경주 이사 ‘중국어를 배울 시간!’
□ 권준 국장 허허허.
■ 곽경주 이사 아무래도 이제 미국과 확실히 적대적인 관계에 있는 나라로 가게 되면 (미국에) 협조를 안 하다 보니까요.
□ 권준 국장 단속도 좀 줄어들 수 있고.
■ 곽경주 이사 그래서 “중국으로 가야 된다”는 얘기도 나오고 있고요. 다크웹에서의 그런 움직임도 있겠지만 제가 볼 때는 일단 조직들이 계속 고도화를 할 것이거든요. 잡히지 않기 위해서 많은 것들을 업그레이드시킬 텐데, 이를 따라가기 위해서 수사기법 같은 것들도 고도화가 되어야 되고, 민간에서도 그냥 표면적인 현상만을 모니터링하는 것에서 벗어나서 좀 더 추적 기술이라든가 연관성 분석이라든가, 이런 기술들을 좀 더 연구하고 확보해야 되지 않을까 그런 생각이 듭니다.
최근에 한국 데이터 많이 올라오는 것 보면 이제 고도화된 해킹 기술을 이용하지 않는 그런 공격자들이 포럼에다가 유명한 회사의 주변에 있는 사이트를 해킹해서 그 데이터를 올려도 돈이 되고 이슈를 많이 일으킬 수 있다는 것을 알아서 올해는 그런 것들이 좀 더 활성화가 될 것 같아요.
□ 권준 국장 오늘도 정말 흥미진진한 재밌는 얘기해 주셨는데요. 너무나 감사드립니다. 이제 마치도록 하겠습니다.
[권 준 기자(editor@boannews.com)]
러시아와 우크라이나의 사이버전쟁 보면 실제 전쟁 시나리오 예측 가능
회사처럼 조직체계 갖춘 랜섬웨어 해커조직, 한국 집중적으로 노리는 조직도 있어
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 3화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.
■ 곽경주 이사 안녕하세요 곽경주입니다.
[러시아의 레빌 랜섬웨어 조직 소탕 이슈]
□ 권준 국장 얼마 전에 저희 <보안뉴스>에서도 보도된 바가 있는데 다크웹 기반의 사이버 범죄조직들이 주로 러시아에서 많이 활동을 한다고 잘 알려져 있거든요. 그런데 얼마 전 러시아 당국에서 ‘레빌(Revil)┖ 랜섬웨어 조직원들을 소탕했다는 보도가 있었어요. 그것과 관련해서 알고 있는 사항들을 말씀을 해주신다면요?
■ 곽경주 이사 러시아에서 (사이버)범죄조직들이 많은 이유는 러시아에서 크게 관여를 안 하죠, 범죄조직들에 대해서.
□ 권준 국장 그동안 터치를 많이 안 해왔다?
■ 곽경주 이사 그러다가 시작점이 된 것이 조 바이든 (미국)대통령이 지난해 5월에 ‘다크사이드(DarkSide)’라는 랜섬웨어 조직이 있어요. 이름부터가 굉장히 다크한... 네, 조직인데요. 여기서 건드리지 말아야 할 것을 건드립니다. 미국 최대 송유관 운영사인 ‘콜로니얼 파이프라인(Colonial Pipeline)’ 라는 기업을 랜섬웨어로 공격하고. 여기 이 회사가 뭐냐면은, 석유나 가스 같은 것들을 실어 나르는, 수송하는 송유관을 운영하는 곳인데, 미국의 그 큰 대륙에 동부에 45%의 기름과 가스를 담당하고 있는 회사죠. 여기를 공격하면서 거의 국가급 재난 이슈가 터집니다. 기름값이 천정부지로 오르고 엄청나게 많은 사람들이 불편을 호소했죠.
그리고 나서 JBS라고 하는 세계 최대 규모 정육체인, 추수감사절 그럴 때 고기 소비가 많은데요. 그런 곳도 공격하게 되고, 그러면서 미국에서 랜섬웨어 그룹에 대한 대응을 “국가급 재난에 준하는”, “9.11 테러에 준하는 대응을 하겠다”라고 하면서 굉장히 발 빠르게 움직입니다.
그 다음날 즉시 다크웹에 해커들이 모여서, 취약점 같은 것들을 서로 공유하는 그런 포럼(Forum)들이 있는데, 그 포럼 운영자들이 일제히 “랜섬웨어 그룹들의 활동을 이 포럼에서 밴(ban)시키겠다” 즉, 없애버리겠다고 합니다. 실제로 그렇게 했고요. 다크웹에서 ‘램프(RAMP)’라고 하는 랜섬웨어 전용 포럼도 생기고 그랬었는데요. 그 이후로 ‘다크사이드’에 대한 수사, 이번에 ‘레빌’에 대한 수사, 그리고 그 중간 중간에 ‘클롭(CLOP)’ 랜섬웨어 조직 수사 같은 것들이 굉장히 빠르게 동시 다발적으로 이뤄지고 있고요. ‘클롭’ 같은 경우에는 우리나라에서는 커머셜 분야 E사를 공격하면서 굉장히 많이 알려진 조직이기도 합니다.
[러시아의 랜섬웨어 조직 소탕 이유]
□ 권준 국장 아무래도 ‘우크라이나하고 러시아하고의 갈등’ 때문에 미리 대비하기 위해서 ‘러시아에서 일단 미국의 손을 들어줬다’라는 이야기도 있는데요.
■ 곽경주 이사 안 그래도 이제 좀 전에 말씀드렸던 그 ‘RAMP’라고 하는 포럼에서 어떤 범죄자가 뭐라고 했냐면 푸틴 대통령이 바이든 대통령한테 굴복했다기보다 정치적인 이익이 있는 거죠. 말씀하신대로 (러시아가) 우크라이나와의 전쟁을 준비하고 전쟁 분위기를 고조시키고 있잖아요. 그런 상황에서 미국이나 나토(NATO)로부터의 긍정적인 반응을 이끌어내기 위해서 그런 정치적인 이익이 있겠죠.
[다크웹 랜섬웨어 조직 검거 방법
□ 권준 국장 랜섬웨어 그룹들은 주로 다크웹에서 활동을 하는데 어떻게 잡힐 수 있는 거죠?
■ 곽경주 이사 여기에는 굉장히 많은 기법들이 들어갑니다. 비트코인 추적부터 해서 그들이 서버 상에 하는 실수 같은 것들, 그리고 오펜시브(Offensive)한 방법이라고 하는데 좀 공격적인 것이죠. 공격적인 방법을 이용해서 그 조직들을 소탕하게 되는데 이게 사실 암암리에 이뤄졌었어요.
이런 부분들을 얘기하기가 굉장히 좀 민감하고 조심스럽긴 합니다만 미국에서는 작년에 대놓고 “랜섬웨어 조직들을 해킹해서 공격적인 방법으로 찾아냈다”고 그냥 보도를 해버렸어요. 그런 방법을 사용하고 있다는 것을 그냥 만천하에 알린 거죠. (러시아가) ‘레빌’도 그런 식으로 (공격)했을 겁니다.
그리고 ‘오신트(OSINT)’ 라는 방법도 있어요. ‘Open Source Intelligence’의 약자인데, 용어는 화려하지만 그냥 ‘구글링(Googling)’하고 ‘깃허브(Github)’하고 그 다음에 SNS에 ID값들 이런 것들 다 수집해가지고 거기서 연관성 분석을 하는 겁니다.
그래서 이제 랜섬웨어 조직들의 조직원들이 다크웹 포럼에서 사용하는 ID라든가, 중간 중간에 흘리는 이메일(e-mail) 같은 것들이 있고, 그리고 악성코드 분석을 하다보면은 랜섬웨어 피해자에게 “어디로 연락해라”라고 하면서 비트코인 주소를 주고, e-mail 주소도 주고 뭐 이런 것들이 있어요.
그 외에도 굉장히 많은 요소들이 있는데요. 그런 것들을 한꺼번에 모아서 연관 분석을 하면 신원을 파악할 수 있는 경우도 생기고, 가상자산(암호화폐) 거래소 같은 곳에서 이제 KYC(Know Your Customer)라고 하죠, 신원 확인을 하게 되는데. 보통은 좀 체계적인 범죄조직들은 그런 실수를 하지 않지만 가끔 이렇게 ‘어필리에이트(Affiliate)’라고 부르죠. 현실로 따지면 본점과 대리점이라고 할까요? 본점에서는 보통 그런 실수를 안 하는데, 대리점에서 신원을 식별할 수 있는 정보를 실수로 흘리는 경우들이 있어요, 외부에서 그런 것이 단초가 돼서 타고 타고 들어가서 잡아내기도 하고 그런 것입니다.
□ 권준 국장 결국 다크웹 (범죄)조직도 커지다 보니까 하청을 주는 경우도 있고 조직원들이 많아지다 보니까 관리가 제대로 안돼서 단서가 제공되는 경우도 있고, 이번에 특히 (러시아의 레빌 랜섬웨어) 소탕 작전에 ‘미국의 영향력이 좀 작용했다’고 봐도 되겠네요.
▲bmTV [곽경주의 다크웹 인사이드] 3화 시작 화면[자료=보안뉴스]
[러시아와 우크라이나의 사이버전]
□ 권준 국장 그래서 아까 말씀하셨지만 우크라이나하고 러시아가 지금 일촉즉발의 위기잖아요. 여기에 사이버전도 계속 이슈가 많이 된다고 얘기를 들었거든요.
■ 곽경주 이사 그 부분은 일단 지난해 크리스마스 시즌까지 거슬러 올라가야 되는데요. 그때 푸틴 러시아 대통령이 우크라이나 국경에서 러시아의 군사력 증강에 대해서 논의하기 위해서 미국 대통령이랑 전화 통화도 하고 계속 우크라이나 침공을 하기 위한 발판을 마련하기 위해서 뭔가 명분을 쌓아나가는 과정을 계속 거치고 있었어요.
그렇게 하다가 이번에 우크라이나의 정부 사이트들이 최소 70여개 정도가 한꺼번에 해킹을 당했었죠. 그러면서 이제 우크라이나 쪽에서는 “이것은 모든 증거가 러시아를 가리키고 있다”라고 하면서 “러시아가 우리(우크라이나)와 전쟁을 하려고 하는 것이다”라는 이야기들을 하고 있죠.
□ 권준 국장 전쟁을 시작하기 전에 사이버전부터 먼저 하는 것이 보통이잖아요? 전산망을 먼저 장애를 일으킨다든가...
■ 곽경주 이사 그리고 이번 우크라이나 건 같은 경우에 좀 특이했던 것이 정부 사이트를 해킹하고, 서버들을 해킹해서 거기다 악성코드를 심었는데 처음에는 랜섬웨어 같이 생겼어요. 피해 PC들 보게 되면 랜섬웨어처럼 ‘랜섬노트’라고 부르는 “비트코인 내놔라.” 이런 노트가 딱 뜨는데, 그것을 보면 비트코인 주소가 전부 동일합니다. 보통 랜섬웨어 조직이라면 피해자를 관리하기 위해서 비트코인 주소도 다 바꾸고 이러거든요. 근데 이번에는 비트코인 주소도 다 같았고 그리고 악성코드 자체를 분석해보면 이게 ‘복호화’ 기능이 없어요. 암호화를 했으면 복호화를 시켜야 되는데, 복호화가 없고 하드 드라이브 자체를 ‘와이핑(Wiping)’한다고 저희는 표현하거든요. 그냥 아예 지워버립니다. 이런 것으로 봐서는 랜섬웨어의 주요 목적인 금전 취득을 위한 범죄가 아니라 이것은 테러죠 테러.
□ 권준 국장 결국 돈이 목적이 아니라 ‘사이버 테러의 성격이 크다’고 볼 수 있는 거네요.
[다크웹 랜섬웨어 조직의 실태와 조직도]
□ 권준 국장 다크웹 기반으로 한 랜섬웨어 해커조직들이 되게 많아졌다는 말이죠. 주요 사건을 일으킨 조직별로 조직들의 실태와 조직도를 간단하게 설명해 주신다면?
■ 곽경주 이사 전반적으로 랜섬웨어 그룹들의 조직도는 제일 위에 총책이 있습니다. ‘마스터 마인드(Mastermind)’라고 저희는 부르는 그 총책이 있는데요. 총책이 하는 일은 ‘범죄 기획’이죠. 물론 그 조직 안에는 해킹을 하는 인력도 있고 그 다음에 랜섬웨어를 만드는 개발자들도 있고, 그리고 리쿠르터(Recruiter)도 있습니다.
인력들을 끌어 모으기 위해서 다크웹 포럼 상에서 홍보를 하고 다른 랜섬웨어 조직과 우리 조직 간에 비교를 해서 비교표를 올리기도 하고 “우리 조직이 피해 기업이 더 많고 우리가 더 개발을 잘한다”라는 식으로 홍보도 하죠. 거의 기업이라고 보시면 돼요.
그리고 최근에는 계속 콜라보를 하려고 하죠. 콜라보라고 하는 게 뭐냐면 총책이 있으면 이 사람들이 피해 기업들을 막 수백 개씩 트라이해 볼 수 없으니까 ‘어필리에이트’라는 대리점 같은 개념을 둡니다. 이 어필리에이트들이 대신 해킹을 하고 피해자를 물어오면 거기에 따른 수수료를 주는데, ‘레빌(REvil)’이라든가 ‘록빗(LockBit)’ 조직의 경우에는 수수료를 굉장히 많이 줍니다. 9:1이에요. 대리점에 9을 주고 본인들이 1을 갖고요. ‘록빗’과 같은 경우에는 8:2입니다. 그러니까 어필리에이트들이 돈 벌려고 많이 달라붙겠죠. 돈을 잘 버는 랜섬웨어 조직은 초반에 그런 셋업을 해두면 어필리에이트들이 계속 붙어요. 붙으면서 그 조직 자체가 커지고요. 그리고 ‘클롭’ 랜섬웨어 같은 경우에는 제가 이제 사고대응이나 분석을 하면서 느꼈던 점은 유럽이나 북미 쪽을 공격하는 클롭 랜섬웨어 조직이랑 아시아·한국을 공격하는 그 조직이 조금 다른 것 같습니다.
□ 권준 국장 따로 있다?
■ 곽경주 이사 공격 방식이나 악성코드 활용하는 것이나 그 다음에 데이터를 빼내어가는 방식이라든가 이런 것들을 보면 조직이 좀 나눠져 있는 것 같고 조직이 많이 전문화가 되어 있는 것 같아요. 사용하는 취약점 같은 것들 보면, ‘다크사이드’, ‘레빌’... ‘다크사이드’는 지금 종적을 감췄죠. 미국 때문에... ‘레빌’은 이번에 (러시아에게) 셧다운이 됐는데, 뭐 포럼안에서는 “얘네들이 진짜 셧다운이 된 거냐?” 이런 얘기들도 나오고요. ‘리브랜딩(Rebranding)’해가지고 다른 이름으로 나와서 ‘레빌’과의 연관성을 끊고 다르게 또 활동하기도 하고요. 뭐, 이런 경우도 많아가지고. 제 경험상으로 항상 총책을 뿌리째 뽑는 경우는 거의 못 봤거든요. 그 중에 잔당들은 남아서 또 다른 조직을 만들기도 하고요. 이 사람들은 우대받아요. 다른 조직으로 가면. “나 레빌 출신이야.” “랜섬웨어 개발했어.” “너 개발 잘하는구나?” 등등의 이유로 우대를 받습니다.
[한국 타깃으로 한 랜섬웨어 조직]
□ 권준 국장 한국을 타깃으로 해서 해킹하는 사람들도 있잖아요?
■ 곽경주 이사 있죠, 네.
□ 권준 국장 조직이 아니더라도 간단하게 혹시 소개해주실 만한 내용이 있으면...
■ 곽경주 이사 저희가 악성코드 분석을 할 때 주안점이 뭐냐면 이 악성코드를 만든 조직이 기존의 다른 조직과 연관성이 있느냐 그런 포인트로 많이 보는데요. 지난해 우리나라 증권사를 공격했던 랜섬웨어의 코드를 분석해보면 연관성이 거의 없습니다. 그리고 스스로를 ‘귀신’ 랜섬웨어라고 불렀어요.
랜섬노트를 보게 되면 경찰이나 금융위원회나 금융보안원이나 KISA(한국인터넷진흥원) 뭐 이런 곳에다가 알려주지 말라 그러거든요? 영어로 되어 있는데, 사용했던 취약점 같은 것들도 보게 되면 국내 환경을 잘 알고 있는 그런 것들을 가지고 공격을 하는 것을 봐서 국내에 특화되어 있다라고 볼 수 있을 것 같습니다.
[2022년 다크웹 활동 전망]
□ 권준 국장 올해도 벌서 한 달이 훌쩍 가고 있어요. 특이할 만한 사항 몇 가지를 전망해 주신다면?
■ 곽경주 이사 우선 다크웹 상에 있는 범죄자들이 뉴스나 이런 것을 잘 모니터링 하고 있거든요. 그래서 그들이 가장 관심 가질 것은 ‘내가 잡힐 것인가?’ 최근에 ‘레빌’도 잡혔고 ‘다크사이드’ 꽁무니 뺏고, 그리고 여러 ‘클롭’이라든가 랜섬웨어 조직들이 잡혀가면서요. 그런데 저희가 포럼을 모니터링 해보다보면 (사이버 범죄자들이) 그렇게 움츠러들지 않습니다. “어, 나 안해야지.” 이런 것보다는 “더 안잡히도록 해야지.” 이런 성향이 더 강해가지고 포럼 안에서도 보면 크게 두려워하는 부분도 있지만 두려워하지 않는 조직들도 많이 있거든요. 그래서 이들은 (해킹을) 좀 더 정교하게 할 것입니다.
□ 권준 국장 얘기 들어보면 러시아를 기반으로 활동하다가 “어디 뭐 나라를 옮겨야 되나?” 이런 얘기들도 나온다고 하더라고요
■ 곽경주 이사 ‘중국어를 배울 시간!’
□ 권준 국장 허허허.
■ 곽경주 이사 아무래도 이제 미국과 확실히 적대적인 관계에 있는 나라로 가게 되면 (미국에) 협조를 안 하다 보니까요.
□ 권준 국장 단속도 좀 줄어들 수 있고.
■ 곽경주 이사 그래서 “중국으로 가야 된다”는 얘기도 나오고 있고요. 다크웹에서의 그런 움직임도 있겠지만 제가 볼 때는 일단 조직들이 계속 고도화를 할 것이거든요. 잡히지 않기 위해서 많은 것들을 업그레이드시킬 텐데, 이를 따라가기 위해서 수사기법 같은 것들도 고도화가 되어야 되고, 민간에서도 그냥 표면적인 현상만을 모니터링하는 것에서 벗어나서 좀 더 추적 기술이라든가 연관성 분석이라든가, 이런 기술들을 좀 더 연구하고 확보해야 되지 않을까 그런 생각이 듭니다.
최근에 한국 데이터 많이 올라오는 것 보면 이제 고도화된 해킹 기술을 이용하지 않는 그런 공격자들이 포럼에다가 유명한 회사의 주변에 있는 사이트를 해킹해서 그 데이터를 올려도 돈이 되고 이슈를 많이 일으킬 수 있다는 것을 알아서 올해는 그런 것들이 좀 더 활성화가 될 것 같아요.
□ 권준 국장 오늘도 정말 흥미진진한 재밌는 얘기해 주셨는데요. 너무나 감사드립니다. 이제 마치도록 하겠습니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
