사이트가 사라지고, 서버가 닫히고, 소스코드마저 거래되기 시작했다. 블랙캣의 모습은 그 어디에도 찾을 수 없었다. 셔터를 내린 것으로 보인다.

[보안뉴스 = 베키 브래큰 IT 칼럼니스트] 미국 의료 시스템 일부가 사이버 공격을 받아 마비되자 의료 보험사인 유나이티드헬스케어(United Healthcare)는 공격자들에게 돈을 내는 것이 최적의 해결책이라고 판단했고 실행에 옮겼다. 공격자는 블랙캣(BlackCat) 랜섬웨어를 사용하고 있었고, 공격 발생일인 2월 23일부터 의료 시스템들은 제대로 운영되지 않고 있었다. 문제는 돈을 낸 후에도 상황은 크게 나아지지 않았다는 것이었다. 게다가 블랙캣의 고객들 역시 약속된 돈을 받지 못하고 있다고 아우성인 상황이다. 무슨 일일까?


[이미지 = gettyimagesbank]

블랙캣과 유나이티드헬스케어
블랙캣 랜섬웨어에 당한 것은 정확하게 말해 유나이티드헬스케어의 자기업인 체인지헬스케어(Change Healthcare)다. 회사 측은 블랙캣이 지정한 비트코인 지갑에 2200만 달러를 입금했다. 그런데 입금되고 얼마 지나지 않아 다크웹 일부 해킹 포럼에서 난리가 났다. 블랙캣과 계약을 맺었던 파트너 공격자들이 돈을 받지 못했다고 블랙캣을 고발하기 시작한 것이다. 2200만 달러를 챙긴 블랙캣은 그 때부터 지금까지 종적을 감춘 상태다.

블랙캣의 RaaS 서비스를 이용한 것으로 보이는 한 다크웹 사용자는 자신(들)이 체인지헬스케어를 공략한 장본인이라고 주장하며 “여전히 체인지헬스케어의 자료 4TB를 보유하고 있다”고 주장했다. 그러면서 “블랙캣이 약속된 금액을 전달하지 않을 경우 이 정보를 전부 공개하겠다”고 협박했다. “블랙캣과 같이 일할 계획이었다면 다시 한 번 잘 생각해보라”는 경고를 남기기도 했다.

사실 블랙캣의 RaaS 사업이 불안정한 모습을 보인 건 이번이 처음이 아니다. 작년 12월 사법 기관들의 공조로 중요한 서버들이 압수된 이후 블랙캣은 계속해서 흔들렸다. 공격 인프라가 다 사라진 이후에도 랜섬웨어 산업에 복귀하는 모습을 보여주며 자신들의 능력을 증명한 듯 하지만 그 후부터 소음이 끊기지 않고 있다. 이 때문에 일각에서는 블랙캣이 체인지헬스케어 침해 사건을 통해 마지막 한탕을 한 후 사이버 범죄 산업에서 빠져나간 것이 아니냐는 의심이 나오고 있다. 마지막 자금을 마련하기 위해 체인지헬스케어를 공략한 것이라면, 굳이 파트너들과 돈을 나눌 필요가 없었을 것이고, 그러니 배신을 감행한 것일 수 있다는 의미다.

보안 업체 블랙카이트(Black Kite)의 수석 연구 책임인 페르핫 디크빅(Ferhat Dikbiyk)은 “마지막 한탕을 기획하고 서로를 배신하는 일은 다크웹에서 꽤나 흔한 일”이라고 말한다. “다만 러시아의 사이버 범죄 단체들끼리 배신하는 건 흔치 않습니다. 이번 사건은 러시아 해킹 단체가 러시아 해커를 배반했다는 점에서 눈길을 끕니다. 물론 며칠 있다가 블랙캣이 다시 나타나 관계를 다시 정리할 가능성도 없지 않습니다. 브랜드를 바꿔 다시 나타날 계획일 수도 있고요.”

당분간 모습 보이지 않을 것으로 보이는 이유
하지만 블랙캣이 완전히 자취를 감췄다는 쪽에 더 많은 의견이 실리는 데에는 이유가 있다. 일단 블랙캣이 정보를 유출하는 데 사용했던 웹사이트가 폐쇄됐다. RaaS 사업에 사용됐던 소스코드는 500만 달러에 판매되고 있다. 록빗이 얼마 전 사법 기관의 공조로 주춤거렸고, 이 때문에 블랙캣이 랜섬웨어 산업의 왕좌에 오르기 직전이었는데 갑자기 이런 결정들을 내리니 모두가 깜짝 놀랐다. 블랙캣은 “정부의 입김이 지나치게 거세다”고 해명했는데, 보안 업체 가이드포인트시큐리티(GuidePoint Security)의 수석 위협 분석가인 닉 핀(Nic Finn)은 “블랙캣이 사법 기관의 표적이 됐다는 증거는 어디에도 없다”고 말한다.

“해커들을 상대로 사기를 저지른 것으로 보입니다. 사이버 범죄자들이 흔히 사용하는 ‘탈출 전략’이기도 합니다. 전혀 기미를 보이지 않은 채 파트너들을 모집하고 평상시처럼 범죄를 저지르고 돈을 번 후, 나누는 과정 없이 사라지는 것이죠. 그러면서 FBI니 사법 기관들이 압박을 하고 있다는 식으로 ‘밑밥’을 까는 것도 흔한 전략입니다. 실제로 해커들은 사법 기관의 포위망이 좁혀올 때 잠시 눈을 피해 사라지기도 하거든요. 그렇게 잠시 사라지는 것처럼 해 도망갈 시간을 벌 수 있습니다.”

비트코인의 가격, 우크라이나, 그 외 요소들
보안 업체 도메인툴즈(DomainTools)의 수석 보안 고문인 말라키 워커(Malachi Walker)는 “비트코인이 가장 높은 가치를 기록하고 있는 때에 RaaS 사업을 중단한 것이 우연은 아닐 것”이라는 의견이다. “떠나려면 지금이 절호의 기회라고 판단했던 듯 합니다. 혹은 우크라이나의 상황이 진짜 이유였을 수도 있습니다. 러시아 정부는 민간 사이버 범죄 단체들에게 ‘우크라이나 공격에 집중하라’고 종용하는 것으로 알려져 있는데, 블랙캣에도 그런 압박이 들어왔을 수 있습니다. 부응하지 않을 수 없었겠지요.”

보안 업체 미티가(Mitiga)의 COO인 아리엘 판즈(Ariel Parnes)는 “누군가 블랙캣을 뒤흔들려고 하는 것이 분명해 보인다”는 의견이다. “얼른 보기에는 블랙캣이 자발적으로 사업을 그만 둔 것처럼 보입니다. 하지만 상세히 들여다보면 사정이 조금 더 복잡한 것을 알 수 있습니다. 서버들을 동시에 비활성화됐고, 다크웹에서 동시다발적으로 성토들이 나오고 있는 등 뭔가 부자연스러운 현상들이 나타나고 있거든요. 의도적으로 블랙캣을 뒤흔드려는 공작이 있을 것 같습니다.”

하지만 그 무엇보다 파트너들의 뒤통수를 갑작스레 쳤다는 사실이 가장 부자연스럽다는 게 판즈의 생각이다. “물론 사이버 범죄자들이 자기들끼리 속고 속이는 건 흔히 있는 일입니다. 그러나 사이버 범죄라는 걸 진지한 사업 아이템으로 삼고 있는 자들은 조금 다릅니다. RaaS라는 사업을 하려면 사이버 범죄자들 간 신뢰가 매우 중요한 자산이 되거든요. 브랜드 신뢰도가 사업의 번창을 결정하죠. 그런데 갑자기 이렇게 여러 사람을 적으로 만들고 사라진다? 이해하기가 힘들죠.”

한편 체인지헬스케어 측은 돈을 내고도 상황을 해결하지 못해 현재는 유관 기관에 수사를 맡겼다고 밝혔다.

글 : 베키 브래큰(Becky Bracken), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>