러시아계 해커집단 다크사이드, 갈취한 돈으로 비트코인 1750만달러 거래
미국의 중요 석유 공급 통로인 콜로니얼 파이프라인을 해킹한 것으로 알려진 ‘다크사이드’ 역시 활발하게 비트코인 거래를 하고 있는 것으로 전해졌다.
그 동안 해킹을 통해 벌어들인 돈을 비트코인으로 전환한 금액만 약 1750만달러에 달한다는 소식이다. 14일 현지의 블록체인 전문업체인 일렉트릭이나 사이버 보안 전문인 인텔 471 등에 따르면 이들은 이처럼 추적이 용이하지 않은 암호화폐 거래에 주력하는 등 신종 수법을 쓰고 있다.
이들 전문 기관들에 의하면 다크사이드는 어마어마한 자금을 갖고 있다. 그중 일렉트릭은 최근 다크사이드의 비트코인 지갑 중 하나를 발견했는데 그 안에는 지난 3월 이후에만 약 1750만달러 상당의 비트코인이 들어있다는 것이다.
더욱이 최근 콜로니얼 파이프라인을 해킹한 대가로 얻은 500만달러도 그 속에 포함된다는 얘기다. 그렇게 비트코인으로 전환된 돈은 다시 어디론가 빼돌려지고 있다는게 이들의 분석이다.
인텔 471은 “문제의 지갑은 지난 3월 4일부터 활성화돼 21개 지갑에서 무려 57건의 결제가 이뤄졌다”고 전했다.
말이 결제이지 사실은 그 대부분이 해킹을 통해 갈취한 돈 거래의 의심이 드는 것들이다. 재미있는 사실은 콜로니얼 파이프라인사로부터 갈취한 500만달러 상당의 비트코인이 이들 지갑에서 빠져나간 것을 두고도 전문기관들의 분석이 엇갈리고 있다는 점이다.
우선 “성난 미 연방 정부에 의해 암호화폐가 압수된 결과”라는 분석이 있다. 실제로 미 정부는 해킹 직후 다크사이드의 모든 계좌와 암호화폐를 추적, 압류하기 위한 시도를 계속하고 있다.
그 와중에 압수당했을 가능성이 크다는 얘기다. 그러나 반대로 미 정부의 압력이 가해지기 직전, 이미 그같은 ‘장물’을 빼돌렸을 가능성도 있다는 추측도 있다.
이에 앞서 콜로니얼 파이프라인은 다크사이드의 침해로 불능화됐던 미국 최대 규모의 연료관을 복구하기 위해 다크사이드 소속 해커들에게 500만달러의 몸값을 지불한 것으로 드러났다.
블룸버그 등의 보도에 따르면 해커들은 돈을 받고 비밀 암호를 해독하는 도구를 제공했지만 복원 속도가 너무 느려 애를 먹었다는 후문이다. 한시가 급한 터에 툴이 너무 느린 탓에 콜로니얼 측은 시스템의 신속한 복구를 위해 자체 백업을 계속 사용하는 등 진땀을 흘렸다는 소식이다.
이런 상황에 처한 미 연방정부는 이번 해킹 사건 직후 문제의 다크사이드 해커들을 강력 압박, 추적하고 있다.
바이든 대통령은 “랜섬웨어 네트워크의 운영 능력을 방해하기 위한 모든 조치를 추구할 것”이라고 공개적으로 밝혔다. 공교롭게 콜로니얼사로부터 돈을 받은 직후 다크사이드 측은 “웹사이트가 오프라인 상태가 되었고 다수의 (자체) 펀드들에 대한 접근권도 잃었다”고 주장했다.
사이버 보안 회사인 인텔 471에 따르면 다크사이드측은 “이러한 사태가 부분적으로 미 정부의 압력 때문”이라고 밝힌 것으로 전해졌다. 미 정부가 이들 해커 집단에 대해 역공을 가하고 있다는 분석이다.
그 때문에 다크사이드 측은 “(미 정부에 의해) 압류된 지 몇 시간 후, 결제 서버(사실상 해킹 수익금 계좌)의 자금이 알려지지 않은 계좌로 빠져나갔다”라고 밝힌 것으로 전해지기도 했다.
이에 대해 전문가들은 반신반의하고 있다. “해킹 웹사이트가 오프라인 상태가 돼서 결제나 CDN(콘텐츠 전송 네트워크) 서버에 더 이상 접속할 수 없다고 하는데, 곧이곧대로 그 말을 믿어야 할지는 두고 볼일”이라며 유보적 입장을 보이기도 한다. 그 만큼 이들이 호락호락하지 않다는 뜻이기도 하다.
한편으론 콜로니얼 파이프라인사가 돈을 지불한 직후 다크사이드가 해커들에게 제공하는 해킹 전용 서비스형 랜섬웨어 비즈니스 프로그램이 일시 중지되었다는 소식도 들려왔다.
이에 관해서도 미 정부의 개입 때문이라는 설이 뒤따랐다. 그러나 “이미 거액을 갈취한 후여서 해커들로선 추적도 따돌릴 겸 잠시 숨을 고르는 것으로 봐야 한다”는 시각이 우세하다.
실제로 “다크넷(해킹 등 암흑거래) 시장의 그늘진 세계에는 오랫동안 치고 빠지는 사기 수법이 전통이 되어있다”는게 전문가들의 얘기다. 해킹 직후 경계와 단속이 강해지면 잠시 갈취한 돈을 암호화폐로 전환해 그 출처를 알 수 없게 하는 것이 그 방법이다.
이에 대해 “돈을 훔치고, 그 책임을 불투명 다수의 암호화폐 거래자들에게 떠넘기는 행위”라는게 전문가들의 말이다. 다크사이드 같은 해킹 단체 역시 암호화폐를 그런 식으로 악용하고 있으며, 그 과정에서 검은 돈의 출처를 감추는 것은 물론 경우에 따라선 아예 브랜드 자체를 바꾸는 사례가 비일비재하다는 얘기다.
인텔471은 이들 대규모 해커집단의 활동은 날로 더 왕성해질 것으로 보고 있다. “이번 다크사이드의 향후 행보와는 별개로, 앞으로 이번 파이프라인 폐쇄와 같은 대형 해킹 사건은 끊임없이 일어날 것”이라며 “특히 콜로니얼 파이프라인과 같이 주머니가 두둑한 기업들은 해커들이 각별히 노력과 시간을 들여 공격할 만한 가치가 있는 먹잇감”이라고 설명했다.