전체메뉴

[애플경제 이윤순 기자] 전 세계에서 가장 규모가 크고, 악랄한 기업형 랜섬웨어 그룹 갱단이 일망타진되었다. 세계적으로 2,000명의 피해자가 낳은 서비스형 랜섬웨어(RaaS) 제공업체 록비트(LockBit) 사이트가 미국 FBI를 비롯, 유럽과 세계 각국의 사이버보안 당국의 연합 작전에 의해 소탕, 폐쇄되었다.

록비트는 직접 사이버공격도 하지만, 수많은 해커들에게 온갖 사이버공격무기와 툴을 판매하고 있다. 지구촌 사이버공격의 온상이자 본산지라고 할 만하다. 그런 록비트가 이번에 소탕됨으로써 랜섬웨어 등 사이버범죄자들에게 큰 타격을 주면서, 당분간 사이버범죄가 크게 위축될 전망이다.

미국 FBI 등은 각국 보안당국은 대규모 ‘서비스형 랜섬웨어’ 매장으로 사용되었던 록비트 웹사이트에 대한 랜섬웨어 범죄자들의 접근을 차단하기 위해 사이트를 폐쇄했다.

직접 공격 또는 온갖 사이버공격 무기 판매

20일, 미국 법무부는 “국제법에 따라 록비트 갱단이 랜섬웨어 공격을 위한 무기를 판매해온 수많은 웹사이트를 폐쇄했다”고 발표했다. 이번 작전에는 미국, 영국, 프랑스, 독일, 스위스, 일본, 호주, 스웨덴, 캐나다, 네덜란드, 핀란드, 그리고 EU의 보안기구가 두루 참여한 것으로 전해졌다.

록비트는 그야말로 악명높은 랜섬웨어 그룹의 대명사나 다름없다. 이는 특히 지난해 전 세계적으로 급속히 확산된 가장 일반적인 유형의 랜섬웨어다. 이는 웹사이트를 손상시킨 링크, 피싱, 자격 증명 도용 등의 방법을 통해 널리 번지고 있다. 2020년 1월 처음 등장한 이후 무려 2,000명 이상의 피해자를 남겼으며, 그런 수법으로 갈취한 몸값이 1억 2천만 달러를 넘는 것으로 알려졌다.

록비트는 겉으론 어엿한 합법적인 기업이나 다름없다. ‘RaaS’ 웹사이트를 운영하면서 데이터 절취 블로그나, 취약점을 찾기 위한 버그 바운티 프로그램 등을 정기적으로 업데이트하며 판매해왔다. 소위 ‘계열사’로 알려진 사이버 공격자들에겐 록비트 사이트에서 랜섬웨어가 제공되기도 한다.

록비트 랜섬웨어는 특히 제조, 반도체 제조, 의료 등 다양한 산업 분야의 조직을 공격 대상으로 삼고 있다. 또한 록비트를 사용하는 공격자들은 영국의 일부 지역을 포함한 지방 자치단체들을 대상으로 광범위한 공격을 펼치기도 했다.

핵심 인물 5명 검거, 기소도

이번 단속 결과, 록비트 회원 5명이 ‘사이버범죄 음모에 가담’한 혐의로 기소되었다.

미국의 FBI 국장인 크리스토퍼 A. 레이는 “수 년 간의 은밀하고도 파격적인 수사와 단속을 통해 전 세계의 중요한 인프라와 공공 및 민간 조직에 대한 심각한 랜섬웨어 공격을 실행하는 해커의 능력을 크게 떨어뜨릴 수 있게 되었다”고 보도자료를 통해 밝혔다.

특히 이번 단속 성과는 기업 IT업무 책임자들에게 가장 반가운 소식이기도 하다. 기술매체 ‘테크리퍼블릭’은 “이는 또 강력한 사이버 보안 조치의 필요성, 법 집행 기관 및 사이버 보안 커뮤니티와의 협력, 민첩하고 정보에 입각한 대응 전략의 필요성을 생생하게 일깨워준 사건”이라고 평가했다.

이번 작전에 참여한 영국 국립범죄수사국(National Crime Agency) 등은 또 록비트와 같은 사이버범죄 집단의 창궐을 막기 위해 이들이 몸값의 인질로 삼고 있는 데이터를 잠금 해제할 수 있는 ‘암호 해독 기능’을 개발한 것으로 전해졌다. 일종의 도난 당한 데이터를 복원하는 ‘열쇠’인 셈이다. 이게 필요한 피해 기업들은 보안 당국에 요청하면 제공받을 수도 있다.

미국 법무부 역시 언론 보도 자료에서 “우리는 암호 해독 키를 제공하고 피해자 데이터를 잠금 해제하며 전 세계에서 록비트의 범죄 계열사를 추적하는 등 랜섬웨어 범죄의 판도를 바꾸고 있다”고 전했다.

록비트 소탕에 사이버범죄 세계 ‘당황, 혼란’

이처럼 지구촌 랜섬웨어 범죄의 소굴이라고 할 록비트가 소탕되면서 수많은 사이버범죄자들도 ‘맨붕’에 빠진 것으로 간파되고 있다.

사이버보안업계 일각에선 “록비트 사이트 폐쇄 직후 사이버보안업체들이 다크 웹 통신을 모니터링해보니, 일부 범죄자들은 ‘설마 록비트 사이트가 영영 없어지겠느냐’고 반신반의하면서도, 극도의 불안감을 감추지 못하고 있는 상황”이라고 전했다.

실제로 기업 네트워크에 대한 초기 액세스 수법을 판매한 이력으로 알려진 악명높은 다크 웹 포럼 ‘XSS’의 경우, 목전의 상황에 무척 당황해하며, 앞으로 각국 보안 당국의 조치를 크게 우려하고 있는 것으로 전해지고 있다.

그 중엔 각국 보안당국이 록비트의 인프라에서 발견된 취약점을 활용, 소탕 작전을 펼친 점을 들어, “록비트의 운영 보안책이 대체 어떠했길래 무너지느냐”고 비난하는 등 자중지란을 겪는 모습도 관찰되고 있다.

'유비무환'으로 랜섬웨어 예방

한편 늘 반복되는 얘기지만, 랜섬웨어 위험을 줄이려면 무엇보다 의심스러운 링크나 의심스러운 이메일을 클릭하지 않는게 상수다. 또 소프트웨어, 하드웨어를 최신 상태로 유지하고, 중요한 데이터를 오프라인으로 저장하는 등 데이터를 백업할 필요가 있다.

또한 ‘최소 권한’의 보안 원칙을 적용, 특정인에게 권한을 몰아줄 것이 아니라 사용자마다 필요한 회사 데이터에만 액세스할 수 있도록 하는게 좋다. 강력한 스팸 필터와 방화벽은 필수이며, 다층 보안 전략과 직원 교육, 강력한 엔드포인트 보호, 엄격한 액세스 제어 및 권한 관리, 위협 인텔리전스 서비스, 애플리케이션 화이트리스트 작성, 정기 보안 감사, 침투 테스트 및 협업 등도 중요한 실천사항으로 꼽힌다.