랜섬웨어의 상업화된 집단 생태계 현황

2021년 초의 대규모 랜섬웨어 공격으로 인해 사이버 범죄포럼에서 랜섬웨어 관련 논의와 거래가 금지되었지만, 오히려 이러한 조치가 랜섬웨어 공격을 더욱 강력하고 대담하게 만들었습니다. 이로써 고도로 전문화된 랜섬웨어 공격 그룹은 현대 기업 구조와 유사한 내부 구조를 갖추게 되었습니다. 이들은 개발팀, 영업 및 홍보 부문, 외부 청부업자 및 서비스 공급자를 포함하여 기업적인 조직체를 형성하고 있습니다. 이들은 공격 대상으로부터 요금을 받고 데이터 암호화 서비스를 제공하여 "고객"으로서의 역할을 수행하기도 합니다. 

 

Akamai 보안 연구원 Steve Ragan은 이에 대해 "랜섬웨어는 이미 일반적인 비즈니스 세계와 많은 유사점을 가지고 있습니다. 그러나 범죄자의 세계는 일종의 거꾸로 된 세계처럼 어둡고 비뚤어진 병행 세계입니다"라고 설명했습니다. 이는 랜섬웨어 공격이 전통적인 비즈니스 모델과 유사한 방식으로 운영되고 있다는 것을 시사합니다. 이러한 비즈니스적인 접근 방식은 랜섬웨어 공격의 효율성을 높이고, 공격 그룹의 조직력을 강화하며, 공격 활동을 더욱 어렵게 감지하고 막을 수 있게 만듭니다.

 

랜섬웨어의 상업화된 집단 생태계

 

 

랜섬웨어 의존형 지하 숨은 경제

랜섬웨어 공격 그룹은 조직적이고 전문화된 방식으로 운영되며, 다양한 역할을 수행하는 팀으로 구성됩니다. 이러한 구성원들은 각자의 전문 분야에서 랜섬웨어 공격을 위해 협력하여 작업을 진행합니다. 아래는 랜섬웨어 공격 그룹의 주요 구성원과 역할에 대한 설명입니다:

• 개발팀 (Development Team): 파일 암호화 프로그램을 개발하는 역할을 맡습니다. 이 팀은 랜섬웨어의 기능을 개선하고 새로운 변종을 개발하여 보안 기술에 대한 대응을 피하기 위해 지속적으로 작업합니다.
• IT 인프라스트럭처팀 (IT Infrastructure Team): 지불 사이트, 유출 사이트 및 통신 채널을 설정하고 유지하는 역할을 담당합니다. 이 팀은 랜섬웨어 공격에 사용되는 인프라를 구축하고 관리하여 피해자와의 소통을 원활하게 합니다.
• 세일즈 팀 (Sales Team): 랜섬웨어 서비스 애드온 포럼을 관리하고 랜섬웨어를 판매하는 역할을 맡습니다. 이 팀은 랜섬웨어 공격에 필요한 추가 서비스나 옵션을 제공하고 이를 고객에게 마케팅하여 수익을 창출합니다.
• 홍보 및 소셜 미디어 팀 (PR and Social Media Team): 랜섬웨어 공격에 대한 커뮤니케이션을 담당합니다. 이 팀은 미디어와의 커뮤니케이션을 조정하고 Twitter, 블로그 등을 통해 메시지를 전달하여 랜섬웨어 공격에 대한 홍보를 진행합니다.
• 고객 서포트 팀 (Customer Support Team): 랜섬웨어의 네고시에이션 및 고객 지원을 담당합니다. 이 팀은 피해자와의 협상을 진행하고 지불 방법에 대해 안내하며, 피해자가 요구 사항을 충족하도록 지원합니다.
• 파트너 기업 또는 침투 테스트 담당자 (External Contractors or Penetration Testers): 외부 청부업자로서, 피해자의 네트워크를 해킹하여 랜섬웨어를 배포하는 역할을 수행합니다. 이들은 랜섬웨어 공격에 필요한 초기 액세스를 확보하고 프로그램을 배포합니다.

랜섬웨어 공격 그룹은 이러한 구성원들과 협력하여 범죄 활동을 전문화하고 운영합니다. 이러한 구조는 일반적인 기업의 조직과 유사하며, 투자자, 매니저, 상품 마케팅, 고객 지원, 파트너십 등의 역할을 수행합니다. 이들은 오랜 세월 동안 형성된 생태계 안에서 활동하며, 계속해서 발전하고 적응하고 있습니다.

 

인텔 471의 CISO 브랜든 호프만 씨는 사이버 범죄가 현재 지하경제를 형성하는 서비스 제공 업체, 제품 제조업체, 투자자, 인프라 제공자와 함께 이루어지고 있다고 설명합니다. 그는 이러한 범죄 집단이 자유 시장 경제와 유사한 협력 구조를 채택하고 있으며, 이러한 추세를 따르고 있다고 믿고 있습니다.

 

이러한 범죄 집단은 소프트웨어 개발 라이프 사이클을 따르고 있으며, 마케팅, 홍보, 중간 관리 담당자와 같은 다양한 역할을 수행합니다. 또한, 더 큰 수준의 범죄자에게 보고하는 하위 수준의 범죄자를 조직 내에 두고 있습니다.

 

이러한 구조는 새로운 것이 아니며, 랜섬웨어 공격 그룹과 기존 기업 간의 유사성을 학습하는 사람들이 늘고 있다고 브랜든 호프만 씨는 설명했습니다. 이는 보안 업계에서 인식되고 있으며, 이러한 구조를 이해하고 대응하는 것이 중요합니다.

 

 

시장의 압력에 적응하는 랜섬웨어 공격 그룹

2021년 5월의 랜섬웨어 공격은 콜로니얼 파이프라인에 대한 사건이 미국 정부와 국민에게 큰 충격을 주었습니다. 이러한 공격으로 인해 콜로니얼 파이프라인은 전체 가솔린 파이프라인 시스템을 처음으로 폐쇄했고, 이로 인해 미국 동부 연안 전역에서 연료 부족이 발생했습니다.

 

이 사건은 랜섬웨어가 주요 인프라 시스템에 미치는 위험성을 강조하고, 이러한 공격이 테러의 한 형태로 간주되어야 하는지에 대한 논란을 불러일으켰습니다. 사건이 발생한 당시 언론과 정치인들은 이러한 공격을 국가 안보에 큰 위협으로 간주하고, 적극적인 대응이 필요하다고 주장했습니다.

 

이러한 상황에서, 다크사이드와 같은 랜섬웨어 그룹도 사건의 심각성을 인식하고 사회적 영향을 최소화하기 위해 노력했습니다. 그러나 이미 사태는 심각한 수준으로 발전하여, 이후의 대응은 이미 더 큰 문제에 직면한 상황에서 이루어졌습니다. 이 사건은 랜섬웨어 공격이 현대 사회에 미치는 심각한 위협을 명백히 보여주는 사례 중 하나로 기억됩니다.

 

사이버범죄정보업체 플래시포인트에 따르면 러시아의 사이버범죄 포럼인 XSS 관리자들이 XSS 플랫폼 상의 랜섬웨어 관련 활동을 금지한다는 결정을 내리고, 이와 유사하게 Revil 등의 다른 유명한 랜섬웨어 그룹도 의료, 교육, 정부 기관에 대한 공격을 금지하는 정책을 발표했습니다. 이러한 조치는 사이버 범죄 포럼인 '익스플로이트'와 '레이드'에서도 즉시 따르며, 다크사이드는 공공 인프라에 대한 접속을 차단하고 운영을 중단하기로 발표했습니다. 이에 따라 호스팅 회사는 법 집행 기관의 요청에 따라 대응했다고 주장했습니다.

 

이러한 사건의 여파로 FBI는 콜로니얼 파이프라인의 암호화된 시스템을 해독하고 공격자에게 지불한 440만 달러 상당의 암호화폐를 회수했다고 발표했습니다. 이러한 대응 조치는 사이버 범죄와의 싸움에서 협력과 국제적인 노력의 중요성을 강조하는 사례 중 하나로 인식됩니다. 이러한 조치는 랜섬웨어 공격에 대한 대응력을 높이고, 범죄 그룹의 활동을 억제하는 데 도움이 될 수 있습니다.

 

시장의 압력에 적응하는 랜섬웨어 공격 그룹

 

가장 인기 있는 사이버 범죄 포럼에서 랜섬웨어 활동을 금지하는 결정은 사이버 범죄 생태계에 있어 의미 있는 발전이었습니다. 이러한 포럼들은 오랜 세월 동안 랜섬웨어 그룹이 파트너를 모집하거나 거래를 진행하는 주요 장소였습니다. 이번에 랜섬웨어 활동이 금지된 것은 이러한 포럼들이 사이버 범죄의 활동을 조장하고 지원했던 구조적 문제를 바꾸는 것으로 평가됩니다.

 

사이버 범죄 포럼의 랜섬웨어 활동 금지는 사이버 보안 업계에도 영향을 미쳤습니다. 사이버 보안 업계는 이러한 포럼을 감시하여 새로운 위협에 대응하고 범죄 활동에 대한 정보를 수집해왔습니다. Steve Ragan은 이에 관해 "우리는 범죄자들을 다른 폐쇄된 곳으로 옮겼습니다. 범인은 대중의 이익을 위해서만 떠나지 않았던 것입니다"라고 말했습니다. 포럼이 더 이상 범죄자들 간의 활동을 조장하거나 지원하지 않게 되면서, 랜섬웨어와 관련된 새로운 기능이나 변종이 발견될 때까지 이러한 정보가 더 이상 공개되지 않게 되었습니다. 이는 랜섬웨어와 관련된 위협을 이해하고 대응하기 위해 더 많은 노력과 조치가 필요함을 시사합니다.

 

 

사라진거 같지만 사라진 것은 아닙니다

유명한 랜섬웨어 공격 그룹은 종종 몇 달에 한 번씩 활동을 중단합니다. 예를 들어, 2021년에는 Maze, Dark Side, Avaddon 등이 조업을 중단했습니다. 이러한 공격 그룹은 종종 마스터 암호 키를 해체하고 공개하기로 결정하며, 이로 인해 피해자들이 데이터를 복구할 수 있게 됩니다. 그러나 이러한 공격 그룹의 해체는 그들이 사라지거나 법적 처벌을 받는 것을 의미하지 않습니다. 대신에, 그들은 종종 다른 그룹으로 이동하거나 역할을 변경하여 활동을 계속합니다. 때로는 범죄자들이 투자자로 전환하기도 합니다.

 

랜섬웨어 공격 그룹의 수명은 보통 약 2년으로 알려져 있습니다. 이러한 그룹들은 공격이 너무 성공적일 경우 주의를 피하기 위해 그룹을 해체하고 새로운 그룹을 형성하는 경향이 있습니다. 또한 범죄자들은 종종 퇴직하여 다른 그룹의 투자자가 되기도 합니다. 이러한 상호 작용은 수사를 어렵게 만들고 법 집행 기관이 범죄자를 식별하는 것을 방해할 수 있습니다.

 

랜섬웨어는 높은 수익률을 가지고 있기 때문에 사이버 범죄자들은 이를 선택할 수밖에 없습니다. 이는 다른 형태의 사이버 범죄와 비교할 때 매우 뛰어난 Return on Investment(ROI)를 제공하기 때문입니다. 따라서 다른 형태의 사이버 범죄 집단이 랜섬웨어를 수익원으로 채택하거나 협력하는 경우가 늘어나고 있습니다. 이러한 상황은 비즈니스 세계에서의 합병과 유사한 현상으로 볼 수 있습니다.

 

 

정부의 적극적인 행동의 영향

러시아나 구소련 지역에 있는 사이버 범죄자들은 보통 자국 기업을 대상으로 공격하지 않으며, 그들이 만든 악성 코드는 주로 러시아어나 CIS 국가의 다른 언어를 사용하는 컴퓨터에 배포되지 않도록 설계되어 있습니다. 따라서 이 지역의 범죄자들은 러시아나 CIS 국가 외의 기업을 대상으로 공격합니다. 이러한 이유로 러시아는 자국민을 서방 국가로 인도하지 않는 경우가 많습니다. 현재의 지정학적 상황에서 러시아와 서방 국가들 간에 사이버 범죄에 대한 법적 협력 가능성은 거의 없을 것으로 보입니다. 

 

2021년 7월, 조 바이든 미국 대통령은 블라디미르 푸틴 러시아 대통령과의 대화에서 카제야 랜섬웨어 공격에 대한 협력을 검토하고 있다고 밝혔습니다. 동시에 미국은 공격에 대한 보복을 위해 랜섬웨어 서버를 공격할 준비가 되어 있다고 시사했습니다. 이후 레빌 그룹은 침묵하고, 공격당한 카세야는 미공개 정보원으로부터 마스터 암호 키를 받았습니다.

 

만약 미국 외교 노력이 성과를 거두지 못하고 러시아 사법기관이 자국 범죄자를 처벌하지 않는다면, 공격적인 접근이 필요할 수 있습니다. 그러나 만약 이러한 법률이나 정책이 나와도 그것을 시행할 수단이 없다면, 사이버 공격 그룹은 더 강력하게 돌아올 가능성이 있습니다. 사이버 범죄자들은 정부와의 대립보다는 적절한 대비가 되어 있지 않은 기업과의 싸움을 선호합니다. 그러나 호프만은 국가의 사이버 인프라를 보호하기 위해 노력하는 것이 사이버 공격 그룹에 큰 영향을 줄 수 있지만, 이는 국가 간 '사이버 전쟁'을 유발할 수 있다고 경고합니다.