전체메뉴

[애플경제 이윤순 기자] 지난 2023년은 유독 랜섬웨어 갱단이 극성을 부린 한해였다. 이들 조직은 웬만한 글로벌 기업들 뺨칠 만큼 거액의 떼돈을 벌어들이고 있다. 그런 가운데, 힘들더라도 몸값 지불을 금지하는 캠페인이나 법, 제도가 정착되어야 한다는 목소리도 높다.

그간 사이버보안 관련 외신과 관련 보안업체들을 종합해보면 지난해 이처럼 극성을 부린 바람에 국내외적으로 많은 기업들은 ‘몸값’에 시달리거나, 회사 경영에 큰 타격을 받기도 했다. 반면에 랜섬웨어 갱단 조직들은 지난 1년 간 기록적인 수익을 기록한 것으로 전해지고 있다.

이들 갱단과 해커들의 수법도 더욱 정교하면서도 잔혹해지고 있다. 피해자 혹은 피해기업에게 터무니없는 금액의 몸값을 강요하면서, 가혹하고 극단적인 전술을 구사하곤 했다.

랜섬웨어 갱단들, 지난해 수십억 달러 갈취

암호화폐 포렌식 기업인 ‘Chainalytic’에 따르면, 지금까지 알려진 2023년의 랜섬웨어 몸값은 예년의 거의 2배나 증가한 10억 달러를 넘어섰다. 그러나 ‘Chainalytic’은 “실제로 몸값으로 지불된 금액은 그보다 훨씬 많을 것”으로 예상하기도 했다. 더욱이 2024년은 ‘랜섬웨어의 대대적인 창궐’의 한 해가 예상되어 더욱 큰 우려를 낳고 있다.

물론 긍정적인 조짐도 없진 않다. 2023년에 그토록 랜섬웨어 범죄가 극성을 부렸지만, 또 다른 보안 전문가들은 “연말로 갈수록 몸값 지급액이 감소하는 흐름”이라고 했다.

이러한 감소세는 향상된 사이버 방어 및 복원기술, 그리고 대부분의 피해 기업들이 “해커가 (몸값을 받으면 데이터를 복원해준다는) 약속을 지키지 않고, 도난당한 데이터를 삭제할 것이라는 불신 탓”이라고 했다. 랜섬웨어 복원과 치료 전문업체인 ‘코브웨어’(Coveware)에 따르면 “이로 인해 피해자에게 더 지혜로운 해결책을 선택하게 하고, 해커를 믿지 못하다보니 몸값도 줄어들 수 밖에 없었을 것”이라고 했다.

사상 최대의 기록적인 몸값 갈취하기도

그럴수록 이들 갱단은 공격 목표로 삼는 피해자 수를 늘림으로써 줄어든 수익을 늘려가고 있다.

대표적인 경우가 지난해 가을 횡행했던 ‘MOVEit’ 공격이다. 당시 러시아 Clop 랜섬웨어 집단이 널리 사용되는 MOVEit Transfer 소프트웨어의 취약점을 대량으로 악용, 2,700개 이상의 피해기업이나 개인의 시스템에서 데이터를 훔쳤다. 피해자 중 다수는 민감한 데이터의 공개를 막기 위해 해킹 그룹에 몸값을 지불한 것으로 알려져 있다.

이처럼 대량 해킹으로 랜섬웨어 그룹이 과연 얼마나 많은 돈을 벌었는지는 정확히 알 수 없다. 다만 ‘Chainalytic’에 의하면 Clop은 MOVEit 공격으로 1억 달러 이상의 몸값을 갈취했으며, 이는 지난해 6월~7월에 발생한 전체 랜섬웨어 몸값의 거의 절반을 차지했다고 밝혔다. 이같은 2023년의 대량 해킹은 ‘MOVEit’뿐만이 아니었다.

지난해 9월, 카지노 및 엔터테인먼트 대기업인 ‘시저스(Caesars)’는 사이버 공격으로 도난당한 고객 데이터가 공개되는 것을 방지하기 위해 해커들에게 약 1,500만 달러를 지불했다.

당시 ‘시저스’에 대한 사이버공격은 거의 언론에 보도되지 않은채 감춰졌다. 반면에 거대 호텔 ‘MGM 리조트’에 대한 또 다른 공격은 지금까지 1억 달러의 복구비와 몸값을 지불한 것으로 전해졌다. 이 소식은 몇 주 동안 주요 외신의 헤드라인을 지배했다.

당시 MGM이 처음엔 몸값 지불을 거부하자, 해커는 이름, 사회보장번호, 여권 정보를 포함한 MGM의 민감한 고객 데이터를 공개했다. ‘시저스’는 랜섬웨어 갱단이 훔친 데이터를 삭제하진 않아 적어도 겉으로는 큰 피해를 입지 않은 것처럼 보였다.

몸값 지불 불구, 날로 늘어나는 사이버 공격

‘시저스’처럼 많은 기업과 조직은 몸값 요구에 굴하는 것이 회사 이미지나 브랜드 훼손을 막는 가장 쉬운 방법으로 여기기도 한다. 그러나 몸값 지불 후에도 이들 갱단은 점점 더 많은 금액을 또 요구하며, 극단적인 위협을 가하기도 한다.

실제로 지난해 12월, 미국에선 해커들이 환자들을 볼모로 암병원을 공격, 몸값을 요구하려 했다. 이는 실제 환자들의 생명을 위협하는 메시지를 보냄으로써 발신자를 찾기 위해 무장 경찰이 나서기도 했다.

또한 악명 높은 Alphv(BlackCat으로 알려짐) 랜섬웨어 갱단은 미국 정부의 새로운 데이터 유출 공개 규칙을 무기화하기도 했다. 즉, Alphv는 피해기관 중 한 곳인 ‘MeridianLink’가 “사이버공격자에 의해 고객 데이터 및 운영 정보를 손상시키는 심각한 사태를 공개해야 한다는 규정을 어기고, 공격 당한 사실을 ‘쉬쉬’하고 있다”고 공개적으로 비난하기도 했다. 그야말로 ‘적반하장’의 작태인 셈이다.

현재는 ‘몸값 지불 금지’ 제도 전혀 없어

랜섬웨어 갱단이 이처럼 고가의 범죄 수익을 올릴 수 있는 가장 큰 이유 중 하나는 해커에게 피해자가 몸값을 지불하는 것을 막을 수 없기 때문이다.

전문가들 사이엔 “미국이나 기타 피해가 심한 국가에서 ‘몸값 지불 금지’가 제도화될 경우, 오히려 피해기업들은 피해 사실을 당국에 보고하지 않고 숨길 우려가 크다”는 지적도 나오고 있다. 또한 몸값 지불을 금지하면 몰래 돈을 지불하기 위한 대규모 지하 시장도 생겨날 것이란 예측이다.

반대로 전면적인 몸값 금지 조치는 랜섬웨어 해커가 적어도 단기적으로는 계속 돈을 낭비하지 못하도록 하는 유일한 방법“이라고 믿는 전문가들도 있다.

사이버 보안기구인 ‘Recorded Future’는 오랫동안 몸값 지불 금지에 반대해온 곳 중 하나다. “몸값 지불이 합법적인 한, 사이버 범죄자들은 몸값을 갈취하기 위해 수단과 방법을 가리지 않을 것”이라고 강조한다.

이 기구는 “몸값 지불 금지는 고통스러운 일이 될 것이며, 그간 사례를 보면 랜섬웨어 공격이 단기적으로는 증가할 가능성이 높다. 그러나 이는 장기적으로는 사이버범죄를 막을 수 있는 유일한 솔루션”이라고 ‘테크크런치’에 밝혔다.