[보안뉴스 문가용 기자] 악명 높은 러시아 해킹 그룹인 레빌(REvil)이 다시 돌아왔다. 아무런 설명도 없이 급작스레 사라진 지 2개월 만의 일이다. 골칫거리였던 랜섬웨어 그룹이 사라졌다는 희망이 보안 업계에 파다하게 퍼졌다가 쑥 들어가게 되었다. 이러한 상황을 보안 업계 크라우드스트라이크(CrowdStrike)가 발견해 알렸다.
[이미지 = utoimage]
크라우드스트라이크에 의하면 “레빌이 지난 9월 7일 갑자기 피해자들을 협박하는 용도로 주로 활용했단 웹사이트와 지불 포털을 온라인 상태로 만들었다”고 한다. 사이트를 살폈을 때 피해자가 기존보다 더 늘어났다는 확실한 증거는 없는 상태이지만 “공격에 있어서 가장 중요한 역할을 했던 장치가 복구됐다는 것은 게임이 다시 시작되었다는 뜻일 가능성이 높다”고 크라우드스트라이크는 분석하고 있다.
또 다른 보안 업체 플래시포인트(Flashpoint)도 “러시아어 사이버 범죄자 포럼인 익스플로잇(Exploit)에 레빌이라는 이름을 사용하는 행위자가 나타났다”고 자사 블로그를 통해 발표했다. 이들은 레빌 그룹의 대변인 행세를 했다고 하며, “백업을 사용해 사업 운영을 정상적인 상태로 되돌릴 수 있었다”고 말했다고도 한다. 그러면서 “레빌이 다시 돌아온 것이 분명해 보인다”고 밝혔다.
크라우드스트라이크의 아담 메이어스(Adam Meyers)는 “랜섬웨어 공격자들뿐만 아니라 사이버 범죄자들이 간헐적으로 휴지기를 갖는 건 흔한 일”이라고 설명한다. “너무나 많은 시선이 자신들에게 쏠릴 때, 혹은 새로운 인재 영입을 통해 ‘그룹 전체 리뉴얼’ 작업을 진행하려고 할 때, 사이버 범죄자 단체들은 잠깐씩 모습을 감추고 물밑 작업들을 실시합니다. 레빌 역시 미국과 러시아의 사이버 수사 공조 이야기가 나오는 등 압박감을 느낄만한 상황이었습니다.”
레빌은 5월 JBS라는 거대 업체를 공격해 1100만원을 갈취한 바 있다. 그 다음인 7월에는 IT 관리 소프트웨어인 카세야VSA(Kaseya VSA)를 공격함으로써 수많은 MSP 고객사들을 한꺼번에 감염시키기도 했다. 당시 레빌은 마스터 키 값으로 7천만 달러를 요구했었다. 그러면서 언론과 정치권의 큰 주목을 받았다. 이런 연쇄적 랜섬웨어 사건으로 미국에서는 “랜섬웨어는 국가 안보의 위협”이라는 슬로건까지 내걸고 대처 방안을 마련 중에 있다.
메이어스는 “레빌의 경우 마음 놓고 휴가를 갈 만한 상황은 아니었을 것”이라며 “대형 사고를 연달아 일으켰다는 것을 스스로도 알고 있었을 것이며, 따라서 수사망을 피하기 위해 긴급히 숨었다가 다시 나타난 것으로 보인다”고 추정하고 있다. “시간이 흐르면 아무리 큰 사건도 작게 느껴지고 결국 사람들의 경계심도 사라진다는 걸 잘 알고 있었던 것이죠.”
보안 업체 디지털 셰도우즈(Digital Shadows)의 위협 분석가인 이반 라이(Ivan Righi)는 크라우드스트라이크와 다르게 “이미 피해자가 하나 생긴 것으로 보인다”는 의견이다. “이 피해자는 지난 3월 또 다른 랜섬웨어 공격자인 도플페이며(DoppelPayer)의 피해자 데이터 유출 사이트인 도플 릭스(Dopple Leaks)에도 이름을 한 번 올린 바 있습니다. 당했던 조직이 한 번 더 레빌의 덫에 걸려든 느낌입니다.”
라이는 지난 2개월 간 이어진 레빌 실종 사 건에 대해 여러 가지 이유가 있을 수 있다고 설명한다. “사법 기관의 압박이 거셌을 가능성이 높습니다. 카세야 사건이 너무나 큰 피해를 일으켰고, 사법 기관들의 의지가 분명했었거든요. 하지만 반대로 대대적인 사건을 일으켜 자신들의 목적을 달성한 후 ‘좀 쉬었다 오자’고 내부적으로 결정한 것일 수도 있습니다. 범죄자들은 자신들이 죄를 짓는다고 생각하지 않아요. 우리랑 똑같이 업무를 본다고 생각하죠.”
결국 레빌이 스스로 밝히지 않는 이상 지난 2개월 간의 행적은 영원히 수수께끼로 남을 공산이 크다. 다만 레빌은 꽤나 말이 많은 그룹이라는 특성을 가지고 있다. 그렇기 때문에 이번 사건에 대해서도 언젠가 스스로 공개하지 않을까 하는 예상들을 보안 전문가들은 하고 있다. 라이 역시 그러한 사람 중 하나다.
3줄 요약
1. 2달 전 모든 사이트 닫고 갑자기 사라졌던 레빌, 갑자기 돌아옴.
2. 아직 뚜렷한 피해 현황은 나오지 않고 있으나 한 조직이 당한 것으로 보임.
3. 사라졌던 이유는 무엇일까? 피신? 피서?
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>