“피해자 사죄 의미, 파일 복구용 복호화 키 무료 제공”
악명높은 ‘헌터즈 인터내셔널’ 랜섬웨어 그룹, ‘다크웹’서 공표
“‘간판’ 바꾼채 파일 암호화 아닌 데이터 탈취로 수법 전환”
[애플경제 엄정원 기자] 세계적으로 악명높은 랜섬웨어 그룹이 “그간의 해킹을 중단하고, 피해자들에게 (사죄하는 심정으로) 무료 복호화 키를 제공한다”고 밝혀 눈길을 끈다. 하지만 사이버보안 전문가들은 이는 순수한 선의의 표시는 결코 아니라며 속지말 것을 당부했다. 오히려 “간판만 바꾼채, 그간 파일 암호화 대신, 데이터 탈취로 수법을 바꾸기 위한 위장전략”이라며 “이젠 하다하다 사이버범죄 집단들이 이런 기묘한 술수까지 동원하고 있다”고 경계했다.
지난 4월, ‘회개’라도 하듯 ‘선행’ 코스프레 예고
그런 ‘양두구육’을 연상케하는 선심 전략을 쓰는 집단은 악명높은 ‘헌터스 인터내셔널 랜섬웨어 그룹’이다. 이들은 갑자기 다크 웹페이지에 올린 게시물에서 “그간의 활동을 중단하고 피해자들에게 작별 선물을 제공할 것”이라며 이런 내용을 공표했다.
그러면서 “신중히 검토하고, 최근 상황을 고려한 후 그간의 ‘헌터스 인터내셔널 프로젝트’(사이버공격)를 종료하기로 결정했다.”고 밝혔다. 이들은 “이런 결정은 결코 가볍게 내린 것이 아니다”고 밝히며, “최근 몇 년간 우리의 공격으로 수많은 피해자들에게 끼친 피해 상황을 심각하게 생각하고 있다”고 했다. 짐짓 ‘개과천선’이라도 한 듯한 표현이다.
‘헌터스 인터내셔널’은 “그런 용서와 화해를 구하기 위한 노력의 일환으로 랜섬웨어 피해를 입은 모든 사람들에게 (파일을 복구할 수 있는) 복호화 키를 (몸값을 받지않고) 무료로 제공할 계획”이라고 밝혔다. “저희의 목표는 몸값을 지불하지 않고도 암호화된 데이터를 복구할 수 있도록 하는 것”이라고 마치 큰 시혜라도 베풀 듯, ‘선행’ 코스프레를 하고 있다.
이 집단은 2년 전 설립되어 자못 악명을 떨쳤다. 미국 암센터와 타타 테크놀로지(Tata Technologies)를 표적으로 삼아 다양한 공격을 감행했다. 이 그룹은 심지어 미국 연방보안관청(US Marshals Service)을 침해했다고 주장했지만, 당시 해당 기관은 이를 부인했다.
이번의 ‘선행’ 코스프레를 하기 전 지난 4월, 이 집단은 이를 예고하기도 했다. “(사이버공격은) 더 이상 희망이 없고, 매우 위험하다”고 발표하면서 이런 행동을 공지했다.
‘월드 리크스’로 명칭 바꾼채 ‘계속 영업’
하지만 보안 전문가들은 오히려 각별한 주의를 당부했다. 보안업체 ‘헌트레스’측은 “기업들이 결코 안심해서는 안 된다”고 강조했다. 실제로 ‘헌터즈 인터내셔널’은 새로운 이름으로 간판만 바꿔달고, 새로운 수법의 공격을 할 것으로 파악되었다.
랜섬웨어 사이트 폐쇄를 이들은 ‘선의의 표시’로 포장하지만, 이는 진정한 ‘회개’가 아닌, 전략적 ‘리브랜딩’일 가능성이 높다. ‘헌터스 인터내셔널’은 이제 ‘월드 리크스(World Leaks)’라는 이름으로 바꾼 다음, 또 다른 ‘갈취’ 전용 조직으로 변모했기 때문이다.
헌터 인터내셔널이 간판만 바꾼 ‘월드 리크스’는 이제 종전의 파일 암호화 수법은 더 이상 쓰지 않는다. 대신에 데이터를 훔쳐낸 후, 몸값과 맞바꾸는 파렴치한 ‘갈취’ 전용 모델로 운영된다. 이는 이미 올해 초 ‘헌터스 인터내셔널’의 부수 프로젝트로 시작되어 네 가지 플랫폼을 운영하고 있다.
즉, 주요 데이터 유출 사이트, 몸값 지불 협상 사이트, 언론인을 위한 내부자 플랫폼, 사이버 범죄자를 위한 제휴 패널 등이다.
보안업계 일각에선 이처럼 간판만 바꾸고 또 다시 악행을 계속하는 사례는 결코 새롭거나 놀라운 일이 아니란 지적이다. 이에 따르면 랜섬웨어 조직들은 이처럼 ‘리브랜딩’을 하는 경우가 드물지 않다. 게다가 ‘헌터스’가 ‘월드 리크스’라는 이름으로 바꾼 다음 데이터 유출 수법을 시도하고 있다는 사실을 수사당국도 이미 간파하고 있었다.
사법당국 단속을 피하려는 ‘코스프레’?
특히 ‘헌터스’의 이런 ‘선행’ 코스프레는 최근 사법당국의 단속과 검거를 어떻게든 피하려는 심리도 작용하고 있다. 비단 이들뿐만 아니다. 날로 각국에서 사이버범죄에 대한 단속과 수사가 활발히 이뤄지면서, 범죄 집단들도 잔뜩 긴장하고 있다. ‘헌터스’의 이번 행위 역시 그런 불안한 상황을 타개해보려는 ‘꼼수’로 읽힌다.
온라인 디지털 세계의 대응이, 이젠 현실의 사법적 대응으로 적극 전환하면서, 이들이 느끼는 압박감도 더욱 가중되고 있다. 종전의 데이터 암호화에서 순수한 데이터 탈취로 수법을 바꾼 것도 그런 이유에서다. 랜섬웨어에 대한 강력한 단속과 체포, 사법 처리가 날로 증가하면서, 이를 피해볼 심산이 작용하고 있다.
이는 이들의 공격 탓에 거의 폐업 위기에 몰렸던 수많은 의료 관련 기업, 제조업체, 소매업체 등에게 희소식이 아닐 수 없다. 보안 전문가들은 “그러나 피해자들은 ‘무료 복호화’ 도구를 공짜로 준다는 범죄자들의 말을 너무 믿거나, 낙관해서는 결코 안 된다”고 경고했다.
사이버보안 매체 ‘해크리드’는 “이런 경우 설사 피해자들이 복호화 도구를 획득하더라도 제대로 작동하지 않는 경우가 많고, 사이버 범죄자들은 ‘고객 지원’ 차원의 순수한 의도는 추호도 없다”면서 “무료로 배포되는 복호화 도구가 100% 작동할 것이라고 기대하지는 않는게 좋다”고 경계했다.