랜섬웨어 암호화 없이 데이터 공개 협박에 집중
[보안뉴스 김형근 기자] 미국 한 지방 정부가 데이터 탈취 후 유출을 빌미로 협박한 신생 사이버 범죄 조직 ‘카이로스’(Kairos)에 100만달러(약 14억원)의 몸값을 지불한 사실이 뒤늦게 알려졌다.
보안 정보 협의체 랜섬-ISAC(Ransom-ISAC)의 라케시 크리슈난(Rakesh Krishnan) 연구원은 유출된 해커들과의 협상 대화록과 블록체인 경로 추적을 통해 이 사건을 분석한 이 발표한 케이스 스터디를 발표했다.
이 지방 정부 기관은 시스템을 암호화하는 전통적 랜섬웨어 공격은 당하지 않았으나, 데이터 공개 협박에 굴복해 거액을 송금했다.

보고서는 피해 기관을 직접 언급하지는 않았다. 정보보호 전문 매체 더해커뉴스는 협상 로그에 등장하는 유출 파일명과 정황으로 미루어 볼 때 피해 기관은 오하이오주 유니언 카운티(Union County) 정부가 유력하다고 보도했다. 실제로 유니언 카운티는 지난해 5월 랜섬웨어 감염 사실을 인지하고 주민 및 직원의 개인정보 유출 사실을 통보한 바 있으나, 몸값 지급 여부는 대외적으로 공개하지 않았다.
카이로스는 공격 과정에서 카운티 검찰청 소유의 민감한 법률 및 수사 기밀 파일을 집중적으로 탈취한 뒤, “이를 공개하면 범죄자들이 기소를 피하는 데 악용될 것”이라며 압박을 가했다. 이들은 정교한 해킹 기술 대신 보안이 취약한 계정 비밀번호를 무작위로 대입(Brute Force)하는 방식으로 초기 침투 경로를 손쉽게 확보한 것으로 조사됐다.
내부망 진입에 성공한 해커들은 시스템을 마비시키는 대신 약 2테라바이트, 160만개 파일 규모의 데이터를 빼냈다. 이후 다크웹 유출 사이트에 강제 폭로하겠다는 협박과 함께 카운티 정부를 상대로 한 달간 협상을 벌였다. 초기 300만달러를 요구하던 카이로스는 최종적으로 100만달러를 최종안으로 못 박았고, 유니언 카운티는 결국 6월 13일 약 9.44비트코인(당시 가치 100만달러)을 이들의 지갑으로 송금했다.
탈취된 자금은 지급 수 시간 만에 쪼개져 바이비트(Bybit), OKX 및 러시아계 암호화폐 거래소 벨키(BELQI) 등으로 분산 이체됐다. 카이로스는 이후 데이터가 완전히 파기됐다는 ‘삭제 증명서’를 전달했다. 하지만 이는 단순한 파일 목록에 불과하며 실제 복사본의 전량 삭제를 보장하지 않는다고 보안 전문가들은 입을 모은다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














