전체메뉴

[애플경제 이윤순 기자] 국제적으로 지난 주는 이른바 ‘랜섬웨어 범죄자’들에게는 무척이나 힘든 시기였다. 유럽과 미국 등 각국 수사기관의 일제 단속으로 다수의 랜섬웨어 변종이 무력화되고 서버가 압수되었으며, 주요 범죄자들이 검거, 기소되었다.

접속 경로 제공, 운영자들도 대거 검거

지난 주 랜섬웨어 조직에 대한 국제 공조하의 일제 단속으로 랜섬웨어 경로가 될 법한 수백 대의 서버가 다운되었다.

특히 유로폴과 유로저스트가 공동으로 진행한 단속이 대표적이다. 이를 통해 유럽 각국의 주요 인프라가 세세하게 분석, 해체되었으며, 300대의 서버가 다운되고 650개의 도메인이 무력화되었고, 거의 24건에 달하는 체포 영장이 발부되었다.

유로폴은 이번 작전을 확인하는 성명에서 350만 유로 이상의 암호화폐가 압수되었다고 밝혔습니다.

이로써 랜섬웨어 서비스 및 인프라를 대상으로 진행 중인 국제적인 작전인 '엔드게임 작전'을 통해 압수된 금액은 2,120만 유로를 넘어섰다. 이번 작전은 초기 접근 악성코드에 집중했다. 그 결과 범블비, 락트로덱투스, 칵봇, 하이잭로더, 다나봇, 트릭봇, 웜쿠키 악성코드 변종을 무력화시켰다.

이번 단속을 통해 랜섬웨어 운영자에게 초기 접속 경로를 제공하거나 운영하는 것으로 추정되는 20명에 대해서도 체포 영장이 발부되었다. ‘엔드게임 작전’은 지난 2024년 5월 봇넷에 대한 사상 최대 규모의 국제공조 단속에 이은 것이다. 이 조치는 이전 단속 이후 다시 등장한 새로운 악성코드 변종과 후속 그룹을 대상으로 했다.

유로폴 사무총장 캐서린 드 볼레는 “이번 단속은 사이버 범죄자들이 재편되고 조직을 재편하는 와중에도 법 집행 기관이 이를 탐지하고 다시 공격할 수 있는 능력을 보여준 사례”라고 밝혔다. 그는 또 “범죄자들이 랜섬웨어를 배포하기 위해 이용하는 경로를 차단함으로써 애당초 ‘킬 체인’의 뿌리를 도려내고 있다”고 밝혔다.

유로폴은 또 랜섬웨어 도구를 제공하거나 운영한 것으로 추정되는 용의자를 추적해 달라는 ‘공개 호소문’을 발표하며, 단속의 효율을 한층 높였다.

랜섬웨어 대부, 러 출신 갈리아모프 검거

한편, 미국 법무부도 '엔드게임 작전'의 일환으로 두 곳의 랜섬웨어 조직과 관련된 인물들을 연이어 기소했다.

그 중 러시아 국적의 루스탐 라파일레비치 갈리아모프는 ‘칵봇’(Qakbot) 악성코드를 개발하고 배포한 사이버 범죄 조직의 수장 혐의로 기소되었다. 갈리아모프는 이미 지난 2019년부터 ‘칵봇’ 악성코드를 이용, 전 세계 수천 대의 컴퓨터를 봇넷의 일부로 감염시켰다는 혐의를 받고 있다.

그는 프롤록(Prolock), 도플페이머(Dopplepaymer), 에그리고(Egregor), 레빌(REvil), 콘티(Conti), 네임 로커(Name Locker), 블랙 바스타(Black Basta), 칵투스(Cactus) 등 공모자들에게 접속 권한을 제공한 것으로 알려졌다. 그 대가로 그는 이들 범죄자들이 피해자들로부터 뜯어낸 몸값의 일부를 받은 것으로 알려졌다.

마찬가지로, 전 세계 30만 대 이상의 컴퓨터를 사기 및 랜섬웨어 공격으로 감염시키고 최소 5천만 달러의 피해를 입힌 ‘다나봇’(DanaBot) 악성코드를 개발, 배포한 혐의로 16명이 기소되었다.

미 국방부도 이번 국제적 단속에 적극 참여한 것으로 알려졌다. 국방부는 “이번 이번 단속 조치는 전 세계의 법 집행 기관과 업계의 지속적인 협력을 통해 가능했다”면서 “피해자 데이터를 훔치고 민감한 네트워크를 표적으로 삼아 이익을 취하던 주요 사이버 위협 집단을 무력화시켰다.”고 밝혔다.

특히 “‘다나봇’ 악성코드는 국방부와 관련 기관들에게 명백한 위협이었다.”면서 “앞으로도 우리의 인프라, 인력, 그리고 지적 재산을 강력히 방어하기 위핸 적극 노력할 것”이라고 단속을 계속할 것이라고 강조했다.