크렘린, 사이버 갱단 Evil Corp. ‘스파이 활동’ 지휘·명령
영국, 미국 등 서방 사법당국, 해커들 제재, 대규모 추적 나서
러 정보기관 FSB 등과 협업, 악명높은 ‘록빗’과도 제휴
[애플경제 이윤순 기자] 러시아 랜섬웨어 사이버범죄집단이 크렘린 정보기관의 명령에 따라 서방에 대한 활발한 스파이 활동을 벌이고 있음이 드러났다. 그 동안 러시아와 중국 등의 정부 당국은 자국의 사이버갱단들의 범죄와는 무관하다고 늘 부인해왔다. 그러나 이번에 마침내 러시아 정부의 지휘하에 랜섬웨어 갱단들이 암약한 사실이 공식적으로 드러나 충격을 주고 있다.
이번에 드러난 갱단 ‘Evil Corp.’는 사실상 러시아 정보당국이 고용한 상태나 다름없다. 2일 블룸버그 등 외신을 종합하면, 이들은 악성 소프트웨어를 사용해 미국과 나토 회원국 등 서방국가들의 수백 개 은행과 금융 기관에서 거액을 갈취한 것으로 밝혀졌다.
영국 국가범죄수사국(NCA)에 따르면, 이들은 크렘린 정보 기관의 명령에 따라 움직이는 것으로 알려졌다. 특히 나토 동맹국들을 상대로 비밀리에 사이버 공격과 스파이 활동을 수행하고 있다.
주모자 막심 야쿠베츠, 슈퍼카 몰며 호화생활
그런 식으로 돈을 번 이 조직의 주모자 막심 야쿠베츠는 람보르기니 고급 스포츠카를 운전하며 호화생활을 누리고 있다. 그는 이미 2019년 이전부터 해킹을 시작, 그야말로 ‘떼돈’을 번 것으로 전해졌다. 현재 미국 FBI와 NCA 등은 이들 일당을 검거하기 위해 추적하고 있으나 러시아 정부가 배후에 있어 쉽지 않을 것으로 보인다. 미국 정부는 이미 2019년 12월, ‘Evil Corp.’에 제재를 가하고, “주모자 야쿠베츠그가 기밀 문서 탈취 등 러시아 정보기관을 위한 스파이 활동을 하고 있다”고 수배령을 내렸다.
이에 따르면 야쿠베츠와 그 일당들이 크렘린의 정보활동과 외교 정책을 지원하기 위해 수행한 것으로 알려졌다. 다만 나토 동맹국에 대해 벌인 해킹의 정확한 내용은 아직 파악된 바 없다. 이들 갱단은 러시아의 주요 정보 기관인 연방 보안국(FSB), 외국 정보국(SVR) 및 GRU로 알려진 군 참모부 산하 군사 정보 기관의 관리들과도 긴밀한 관계를 맺고 있다.
영국 NCA는 “특히 야쿠베츠는 자신의 장인인 에두아르트 벤더스키의 도움을 크게 받았다”면서 “벤더스키는 ‘Vympel’이라는 비밀 FSB 부대의 전직 고위 관리였다”고 전했다. 또한 탐사 매체인 벨링캣(Bellingcat)에 따르면 그는 각종 암살 작전에도 깊이 개입한 것으로 알려졌다.
美 등 제재에 러 FSB 적극 나서 옹호도
NCA에 따르면, 미국이 2019년 해커들을 처벌했을 때 벤더스키는 그들을 돕기 위해 FSB와의 관계를 십분 활용하기도 했다. Evil Corp.의 또 다른 리더인 알렉산더 리첸코프는 러시아의 악명높은 랜섬웨어 그룹 록비트(LockBit)에서 일했으며, 그곳에서 ‘비벌리(Beverley)’라는 가명으로 활동한 것으로 알려졌다.
영국, 미국, 호주 정부는 2일 “Evil Corp. 갱단 그룹에 제재를 가한다”고 특별 성명을 통해 발표했다. 영국은 야쿠베츠, 벤더스키, 리체코프 등 Evil Corp.에 연루된 것으로 의심되는 16명을 제재했다. 미국 재무부도 Evil Corp.와 관련이 있는 것으로 알려진 7명과 2개 기관을 자체 제재 목록에 추가했다. 특히 미국 법무부는 리첸코프가 ‘BitPaymer’라는 랜섬웨어를 사용, 텍사스와 미국 다른 지역의 피해자를 공격하고 민감한 데이터를 탈취한 후 몸값을 요구한 혐의로 기소할 것이라고 밝혔다.
영국 외무장관 데이비드 래미는 “이번 제재는 러시아의 사이버 공격이 용납되지 않을 것이라는 메시지를 크렘린에 보내기 위한 것”이라고 말했다. 그는 또 “푸틴은 자신을 중심으로 부패한 마피아 국가를 만들었다.”고 비판하며, “모든 면에서 이에 맞서야 하며 오늘의 행동은 시작에 불과할 것”이라고 단호한 태도를 보였다.
‘록빗’ 주동자 리첸코프, Evil Corp. 리더로 영입도
한편 앞서 랜섬웨어 그룹 록빗(LockBit)은 피해자의 컴퓨터에 있는 파일을 암호화하고 이를 잠금 해제하기 위해 돈을 요구하는 랜섬웨어로 수천 개의 회사를 표적으로 삼곤 했다. Evil Corp.의 제휴사로 알려진 이 그룹을 위해 일하는 해커들은 중국 공상은행의 미국 지사, 보잉사, 영국의 국가 우편 서비스인 ‘로열 메일’(Royal Mail)을 포함한 여러 주요 회사를 공격한 ‘공로’를 인정받기도 했다.
영국 당국에 따르면 Evil Corp.의 리첸코프는 지난 2022년부터 록빗의 랜섬웨어를 사용, 최대 60개 기업이나 조직을 표적으로 삼았고, 이들로부터 모두 1억 달러를 갈취한 것으로 파악되었다. 당시 맨디언트 보고서에 의하면 록빗은 이런 광범위한 해킹을 위해 Evil Corp.와 제휴한 사실도 밝혀졌다. 물론 록빗은 제휴 사실을 부인하며, 자신들은 그저 (러시아 정부와 무관한) 평범한 사이버 범죄자라고 우겼다. 그러나 리첸코프는 그 후 Evil Corp.의 주모자 중 한 명으로 영입된 것이다.
록빗은 올해 초 서방국 사법기관의 집중적인 표적이 되었다. 그 결과 2월에 웹사이트가 해체되었고, 미국 등은 그 중 주동자들의 신원을 공개했다. 또 록빗과 관련된 사람들이 최근 영국, 프랑스, 스페인에서 체포되었으며, 9개의 서버도 압수되었다. 현재도 각국 사법당국은 록빗 갱단과 관련된 또 다른 사람들을 계속 추적하고 있는 것으로 알려졌다. 그런 가운데 아예 러시아 정부와 정보기관에 고용되다시피 한 Evil Corps.의 스파이 활동이 더욱 두드러지면서, 록빗보다 더 큰 위협으로 등장한 것이다.