해커들, ‘자녀 미끼로 협박’ 등 날로 악랄해져

[애플경제 이윤순 기자] 사이버 범죄 전술과 요구가 점점 더 공격적으로 변하고 있다. 해킹 그룹은 더욱 공격적인 갈취 전술을 구사하며, 막대한 몸값을 요구하곤 한다. 특히 이들을 추적하는 보안 전문가나 연구원들을 협박하는 등의 범죄행위도 서슴지 않고 있다.

최근 사이버범죄 분석매체인 ‘테크타깃’ 등에 의하면 영국의 한 병원은 해킹으로 수억 건의 건강 기록이 노출되었고, 그로 인해 의사들은 긴급한 암환자 치료 일정을 변경해야 했다. 또 캐나다, 미국 등지에선 사이버 갱단이 공격 대상자의 자격 증명을 획득한 후, 경매사이트에 탈취한 데이터를 내놓는 경우가 비일비재하다.

특히 자동차 판매점 소프트웨어 제공업체인 ‘CDK Global’에 대한 최근 해킹 사례에선 해커들이 동일한 대상 기업에 대해 연거푸 두 차례나 공격하는 대담성을 보이기도 했다.

‘절도범’이 ‘살인강도범’으로 변하는 듯한 양상

최근 세간의 이목을 끄는 이러한 사건들은 사이버 범죄 조직이 피해자로부터 점점 늘어나는 몸값을 갈취하기 위해 점점 더 사악한 기술로 전환하고 있음을 보여주는 모습이다. 그야말로 ‘절도범’이 ‘살인강도범’으로 변해가는 듯한 양상이다.

이같은 해외 사례에 대해 국내 보안업체 이글루코퍼레이션의 한 관계자는 “돈을 벌기 위해 범죄자들은 더욱 공격적으로 변하고 있는 추세”라며 “면서 “가급적 피해자들에게 더 많은 고통을 줌으로써 조금이라도 더 몸값을 뜯어내거나, 혼란을 야기하려는 의도로서, 국내 기업들도 각별한 주의가 필요하다”고 당부했다.

특히 그는 미국의 CDK 사건에 사용된 방식에 주목했다. 이른바 ‘원투 펀치 접근 방식’을 통해 고객들에게 광범위한 피해를 주는 야비한 수법이다. 그 때문에 미국 전역의 자동차 대리점들이 며칠 동안 업무가 마비되다시피 했다. 만약 랜섬웨어 피해 기업이 몸값을 더디게 지불하는 경우, 두 번째 공격을 가함으로써 압박하는 수법이다.

민감한 기록 유출이나 이중 해킹과 ​​같은 전술은 새로운 것은 아니지만 이젠 보편적인 수법으로 자리잡고 있다는게 문제다. 이들 해커들은 단순히 데이터를 암호화하고 몸값을 요구한 후 다음 피해자에게 넘어가는 식의 전통적인 랜섬웨어 수법에 그치지 않는다. 요즘 해커들은 돈을 요구할 때, 그 액수가 날로 커가는 가운데, 절대 자신들이 제시한 요구사항을 양보하지 않는 경향이다.

러시아어 사용 해커들 대규모 사이버공격

앞서 영국의 병원 해킹 사건의 경우 러시아어를 사용하는 해커들은 무려 5천만 달러를 요구했다. 그 바람에 이 병원이 보험을 든 보험회사는 사이버 범죄 그룹에 2,200만 달러를 지불한 것으로 전해졌다. 상황이 이렇다보니, 해커들은 날이 갈수록 피해기업들자에게 훨씬 더 많은 몸값을 제시하고 있다. 보안 사고 전문업체인 ‘Coveware’에 따르면 올해 1분기 평균 몸값 지급액은 무려 38만1,980달러에 달했다. 한화로 40억이 훌쩍 넘는 금액이다.

해커들이 이처럼 야비하고 강퍅해지다보니, 공격 대상을 선택함에 있어서도 특정 산업 분야 의 전체 공급망에 중요한 영향을 끼치는 기업이나 조직을 골라 공격을 하고 있다. 특히 랜섬웨어 악성코드와 기법을 상품화한 서비스 모델(ransomware-as-a-service model)이 널리 유통되고 있다는 점도 작용한다. 주요 해킹 그룹은 악성 코드를 개발, 계열사로 알려진 다른 해킹 그룹에게 빌려주기도 한다.

유명한 블록체인 분석 회사인 ‘Chainalytic’에 따르면 특히 ‘블랙캣’으로 알려진 악질적인 해킹 그룹이 가장 선호하는 기술이다. 이들 때문에 알려진 랜섬웨어 지불액만 2023년에 10억 달러를 초과한 이유 중 하나라는 얘기다.

더욱 가증스런 것은 해커들이 자신들을 추적 조사하는 보안 전문가와 보안 연구원들도 괴롭히기 시작한 점이다. 특히 무자비한 그룹 중 한곳은 AI를 이용해 가짜 누드 사진을 생성하는 수법으로 연구원들을 공격하기도 한다. 또 어떻게든 연구원들의 집주소 등을 알아내곤, 그 주소로 허위로 경찰에 범죄신고를 해서 곤란하게 하거나, 그들에 대한 개인 정보를 온라인에 게시하는 수법을 동원하고 있다.

보안 연구원 괴롭힘, 경영진에 직접 전화 협박

일부 범죄자들은 피해를 입은 기업이나 조직의 임원에게 직접 전화를 걸어 몸값을 강요하기도 한다. 심지어는 자녀의 번호를 알아내곤 이를 사칭한 스푸핑(사기 전화)으로 부모인 경영진에게 전화를 건 사례도 있었다.

이는 마치 갱단 등 범죄자들이 사람을 납치한 후 그의 손가락 등 신체 부위 일부를 훼손한 흔적을 보내어 몸값을 강요하는 수법과 똑같은 것이다.

특히 의료 분야는 이같은 잔인한 해커들의 가장 좋은 먹잇감이 되고 있다. 앞서 영국 병원의 경우 의사들은 해킹으로 인한 혼란을 수습하느라 몇 주 동안 고군분투했다. 그런 가운데 해커들은 탈취한 각종 환자정보와 의료 데이터를 일반에게 공개하겠다고 위협했고, 결국 병원이 순순히 말을 안듣자 실제로 이를 게시판에 올리기도 했다.

주범으로 꼽힌 ‘블랙캣’ 조직은 그런 수법으로 몇 주 동안 약국과 의료 기관의 운영을 중단하며 몸값을 독촉했다. 더욱 문제는 보험회사가 몸값을 지불한 후에도 과연 환자들 개인 데이터가 안전한지 여부에 대한 보장이 없다는 사실이다.

호주에서도 유사한 사건이 빈발하고 있다. 이 경우 범죄자들은 환자의 가장 민감한 건강 기록을 공개하지 않는 대가로 약 1,500만 달러를 요구했다. 이에 보험회사가 지불을 거부하자 해커들은 불법으로 낙태 시술을 받은 사람에 대한 정보를 유출했고, 환자들에게 일일이 전화를 거는 등 조직적인 괴롭힘을 자행했다.

사법 당국 노력 불구, 근절 어려워

이들의 범죄는 각국 사법당국과 국제 형사법 진행 기관의 노력에도 불구하고 근절되지 않고 있다. 문제는 해커들이 체포될 경우에도 서방국가로 송환되지 않고, 자신들을 보호해주는 국가에서 일하는 경우가 많다는 점이다. 그래서 전혀 처벌이나 보복을 두려워하지 않는다는 얘기다.

미국 등 주요국 정부는 랜섬웨어에 맞설 것을 다짐했고, 자체 태스크포스를 창설하는 등의 노력을 기울이고 있다. 그 결과 성과도 있었지만, 새로운 범죄의 확산을 따라잡기에는 충분하지 않다는 지적이다.