세계 수 천개 기업 로그인, 1만명 이상 자격증명 탈취
美 MGM 그룹 등 1억달러 갈취, 10대 후반~20대 초반 주축
흩어졌다가 범죄시 뭉쳐…영·미 사법당국 2년 여 추적끝 검거
[애플경제 김예지 기자] 사상 최대 규모의 해킹을 일삼던 해커 집단이 미 보안당국에 의해 일망타진되었다. 이들은 주로 10대 후반 청소년이나 20대 초반의 젋은층으로 구성된 것으로 알려졌다. 설사 검거가 되어도 중형을 피할 수 있는 청소년들을 ‘고용’한 사이버갱단이다. 미국 법무부는 이른바 ‘스캐터드 스파이더’로 이름 붙여진 이들을 2년 간 추적한 끝에 마침내 검거, 기소하는데 성공했다.
앞서 지난 7월에 영국 경찰이 먼저 ‘MGM 해킹’ 사건과 관련된 17세 소년을 체포하면서 실마리를 풀었다. ‘MGM 해킹’ 사건은 카지노 및 호텔 대기업으로부터 최소 1억 달러를 뜯어낸 사건이다. 이를 계기로 이달 초순 미국 법무부는 5명의 해커를 기소했다고 발표했다 이들은 모두 23~25세의 미국과 영국 국적의 청년들이다.
흩어졌다 모인다고 ‘스캐터드 스파이’ 명칭도
앞서 이들은 지난 2022년 8월, 정교한 피싱 캠페인의 일환으로 130개 이상의 조직을 표적으로 삼아 거의 10,000명의 직원의 자격 증명을 훔쳤다. 이들은 아예 전 세계 수천 개의 회사에서 직원들이 집에서 로그인할 수 있도록 하는 데 사용하는 단일 로그인 공급업체인 ‘Okta’의 로그인 기술을 사용하는 회사를 특별히 표적으로 삼았다.
‘Okta’를 집중 공격했다는 이유로 이들 해킹 그룹은 ‘0ktapus’라는 별명도 얻었다. 그 후 이들은 지금까지 ‘Caesars Entertainment’, 코인베잇, ‘DoorDash’, 메일침프, 라이엇 게임즈, 트윌리오 등을 포함한 수십 개의 회사를 해킹했다.
이들 해커의 가장 주목할 만한 대규모 사이버 공격은 2023년 9월 MGM 리조트에 대한 해킹이다. 당시 이들 카지노 및 호텔 대기업들은 최소 1억 달러의 손실을 본 것으로 알려졌다. 그 사건에서 이들은 러시아어를 사용하는 랜섬웨어 갱단 ‘ALPHV’와 협력, MGM에 파일을 되찾기 위해 몸값을 요구했다. 해킹이 너무 파괴적이어서 MGM이 소유한 카지노는 며칠 동안 문을 닫을 수 밖에 없었다.
지난 2년 동안 영국과 미국 등 각국 사법 당국은 이들을 집요하게 추적해왔다. 그러나 소셜 엔지니어링, 이메일 및 문자 메시지 피싱, SIM 스와핑 등 다양한 해커 기술을 구사해왔다. ,이들 해커들은 함께 조직을 결성하기보단 서로 다른 여러 해커 그룹에 속해 있으면서 이같은 ‘협업’을 시도한 것으로 알려졌다. 그래서 누가 어떤 그룹에 속하는지 정확히 파악하기 어려웠다. 이처럼 흩어졌다가 다시 필요하면 함께 작업을 한다고 해서 보안업체 크라우드스트라이크는 이 해커 그룹을 ‘Scattered Spider’라고 불렀고, 연구자들은 ‘0ktapus’라고도 불렀다. 이 그룹은 매우 활동적이고 수법도 뛰어나다. 미국 사이버 보안 기관인 CISA와 FBI는 2023년 말에 이 그룹의 활동과 기술에 대한 세부 정보가 포함된 자료를 발행하기도 했다.
미성년자 동원, 가벼운 법적 처분 노려
CISA는 해당 자료를 통해 “‘Scattered Spider’는 대기업과 계약된 IT 헬프 데스크를 표적으로 삼는 사이버 범죄 그룹”이라고 적었다. 이 기관은 이들이 “광범위하게 해킹을 위해 (IT 헬프 데스크의) 데이터를 도용했다”고 경고했으며, 랜섬웨어 갱단과의 연관성도 확인했다.
비교적 확실한 한 가지는 해커들이 대부분 영어를 구사하고, 10대와 20대 초반이란 사실이다. 때로 이들은 “고도의 끈기 있는 10대”라고 불린다는 점이다. CISA는 “연루된 미성년자의 수가 비교적 많다”며 “이는 미성년자들을 앞세워 관대한 법적 처분을 받을 수 있다는 꼼수”라고 ‘테크크런치’에 밝혔다. 그래서 의도적으로 미성년자를 모집하기도 한다.
지난 2년 동안 이들 구성원들은 또한 ‘Com’으로 불리는 정체 불명의 유사한 사이버 범죄자 그룹과 관련이 있는 것으로도 알려졌다. 이들은 사이버 범죄뿐 아니라 오프라인 세계에서 각종 범죄를 저지르고 있다. 그들 중 일부는 강도나 절도, 벽돌 쌓기(깡패를 고용하여 누군가의 집이나 아파트에 벽돌을 던짐)와 같은 범죄 행위도 저질렀다. 또한 일부러 “폭력 범죄가 발생했다”고 속여 무장 경찰이 개입하게 하는 등 공권력을 조롱하는 스와팅도 서슴지않았다. 이같은 스와팅은 자칫 공권력 남용 등 치명적인 결과를 초래하기도 한다.