‘록빗’ 랜섬웨어 그룹, 해커에 자체 ‘다크 웹 사이트’ 몽땅 털려
“몸값 갈취 등 잔인하고 야비한 수법, 만천하에 드러내”
‘피해자 갈취 수법, BTC 지갑 주소, 공격 세부 정보’ 등 유출
[애플경제 이지향 기자] ‘뛰는 자 위에 나는 자’가 있는 셈이랄까. 악명 높은 록빗(LockBit) 랜섬웨어 그룹이 이번엔 거꾸로 해킹을 당했다. 록빗은 자신들이 운영하는 다크 웹 사이트 중 하나가 또 다른 해커들에게 털리면서, 그들의 잔혹하고 야비한 범죄 행각이 만천하에 드러나고 말았다. 희대의 악의 무리가 거꾸로 사이버 범죄 가해자에서 피해자로 전락하고 말았다.
침입자 ‘화이트 해커’ 여부 확인 안돼
문제의 다크 웹을 해킹한 당사자는 실제 해커인지, 아니면 보안을 책임진 화이트 해커인지는 밝혀지지 않았다. 그러나 해당 사이트에는 “범죄를 저지르지 마세요. 범죄는 나쁘죠. 프라하에서 온 xoxo”라는 새로운 메시지와 함께 록빗 그룹이 그 동안 피해자들을 협박, 갈취하는 과정의 채팅 내용이 담긴 MySQL 데이터베이스 링크가 게시되었다. 이들 범죄자들의 수법과 행태를 적나라하게 까발린 것이다.
이를 처음 발견한 글로벌 보안 회사 ‘래피드 7’(Rapid7)에 따르면 이 밖에도 ‘록빗’이 그 동안 선량한 피해자들을 공격하고 갈취하며 동원했던 온갖 수법과 도구가 적나라하게 공개되었다.
이에 따르면 록빗 범죄그룹들의 비트코인 지갑 주소, 제휴 계정, 공격 수법과 세부 정보, 그룹의 공격용 악성코드 및 인프라 정보, 피해 기업들의 웹사이트, 예상 수익, 랜섬웨어의 사용자 지정 버전 등 자세한 범죄 정보가 포함되어 있다. 이 데이터는 작년 12월부터의 기간을 나타낸다.
보안 회사 ‘래피드 7’ 측은 ‘사이버시큐리티 인사이더’에 “아직 공식 확인을 기다리고 있지만, 유출된 정보는 사실로 보이며 텔레그램에도 공유되었다”고 전했다.
‘래피드 7’은 “유출된 채팅 내용을 보면 록빗이 몸값 협상 과정에서 얼마나 잔인하고 비겁한 방법으로 공격했는지 알 수 있다”면서 “어떤 경우는 피해자들이 몇천 달러만 지불하도록 협박을 받았지만, 다른 경우에는 5만 달러, 6만 달러, 심지어 10만 달러까지 훨씬 더 많은 금액을 요구했다.”고 밝혔다.
범죄집단 ‘록빗’, 범죄 생태계에서 ‘평판’ 추락
이같은 범죄자들의 내밀한 수법과 작당이 유출된 것은 역시 또 다른 사이버 범죄 그룹 ‘레이’(Rey)에 의해 발견된 것으로 전해졌다. ‘레이’는 ‘록빗’의 SaaS 고객으로 사이버공격 툴을 구입하기 위해 접속했다가 이를 발견한 것으로 추측된다.
그 후 X에서 공유된 채팅에서 ‘록빗’과 가까운 듯 보이는 인물은 “소스 코드나 복호화 도구가 도난당하진 않았다고 주장했지만, 이 사건이 그룹의 평판에 영향을 미치는 것은 분명하다”고 인정했다.
누가 사이트를 해킹했는지는 알려지지 않았다. 그러나 ‘래피드7’에 따르면, 유출된 메시지는 지난달 에베레스트 랜섬웨어 그룹(Everest Ransomware Group) 사이트에 게시된 메시지와 동일하다.
그 내용을 다시 구체적으로 보면, ‘록빗’의 폐해는 그야말로 심각하다. 최소 120개국에서 2,500명 이상의 피해자를 공격했으며, 피해자 중에는 다국적 기업, 병원, 학교, 비영리 단체, 주요 기반 시설, 정부 기관, 법 집행 기관 등이 포함되었다. ‘록빗’은 수년간 최소 5억 달러의 몸값을 요구한 것으로 추정된다.
작년, 영국 국가범죄수사국(NCA)은 ‘록빗’에 대한 일제 단속을 벌여 대대적인 검거와 소탕에 나섰다. 그로 인해 록빗과 그 아류의 범죄 집단들이 공격을 시도하고 실행하기 위한 주요 시스템이나, 다크웹의 공개 유출 사이트까지 장악했다. 그러나 ‘록빗’은 곧 다시 원상 회복한 후 활동하기 시작했다.
랜섬웨어 공격 갈수록 ‘전문화’ 입증
특히 이번에 유출된 ‘록빗’의 범죄 이력은 랜섬웨어 공격이 얼마나 전문화되었는지를 보여주고 있다. 사이버공격 과정의 테스트 복호화, 기업 규모에 따른 가격 책정, ESXi 복구 과정 안내, 심지어 시간대별 협박 수법과 채팅 매뉴얼까지 드러났다. 이는 단순한 갈취를 넘어 체계적인 범죄 매뉴얼이자 시스템이다.
또 다른 보안회사 ‘블랙 카이트’의 한 관계자는 “‘록빗’은 사이버범죄의 플랫폼으로 스크립트 기반 응답과 기술 지원까지 SaaS 플랫폼처럼 운영하고 있다. 단순히 범죄 사업체처럼 운영한 것이 아니라, 자신들을 하나의 기업으로 자처하고 있다”고 전했다.
그는 또 “이번 (록빗에 대한) 해킹이 분명 ‘록빗’의 사업에 영향을 미칠 것”이라며 “계열사들이 이미 다른 랜섬웨어 그룹으로 이전하거나, 자체적인 RaaS 운영을 시작하고 있다”고 밝혔다. 그래서 이번 역해킹 사건은 평판과 익명성을 기반으로 하는 ‘해킹 업계’에서 ‘록빗’의 통제력 상실은 단순히 사이버공격이 위축되는데 그치지 않는다. 그 보단 생태계를 재편하는 결과를 초래할 것이란 전망이 유력하다.