러 최대 사이버 범죄단 '트릭봇' 대화 내용 20만건 공개
등록 2022.03.29 12:52:10수정 2022.03.29 14:54:43
우크라 사이버 보안 관계자가 러 침공에 항의 표시로
2년여 범죄활동 내역 낱낱이 공개해 범죄활동에 타격
러 정보기관 등과 연계 보여주는 대화내용도 포함
![[모스크바=AP/뉴시스] 블라디미르 푸틴 러시아 대통령이 21일(현지시간) 모스크바 크렘린궁에서 우크라이나 동부 분쟁 지역인 돈바스 지역(도네츠크, 루한스크)의 독립을 인정하는 문서에 서명하고 있다. 이명령에 따라 러시아군이 우크라이나에 처음 진입한 23일은 러시아 조국 수호 의 날이었다. 2022.02.22.](http://image.newsis.com/2022/02/22/NISI20220222_0018516656_web.jpg?rnd=20220222082642)
[모스크바=AP/뉴시스] 블라디미르 푸틴 러시아 대통령이 21일(현지시간) 모스크바 크렘린궁에서 우크라이나 동부 분쟁 지역인 돈바스 지역(도네츠크, 루한스크)의 독립을 인정하는 문서에 서명하고 있다. 이명령에 따라 러시아군이 우크라이나에 처음 진입한 23일은 러시아 조국 수호 의 날이었다. 2022.02.22.
[서울=뉴시스] 강영진 기자 = 러시아의 우크라이나 침공으로 러시아 해커들과 우크라이나 해커들 사이에 공방전도 치열한 것으로 알려졌다. 이와 관련 미국 월스트리트저널(WSJ)은 러시아 정보기관 등과 연계된 것으로 알려진 세계최대 사이버 범죄단 트릭봇(Trickbot) 소속 해커들이 러시아의 우크라이나 침공을 축하하자 익명의 우크라이나의 사이버 보안 연구자가 트릭봇 해커들 사이에 주고받은 문자내역을 공개해 이들에게 타격을 가했다고 28일(현지시간) 보도했다.
비밀 대화방에서 러시아와 연계된 해커가 미국 병원 400여곳을 무력화하는 해킹 공격 계획에 흥분을 표시했다. 그는 러시아어로 "패닉이 발생할 것"이라고 썼다.
2020년 팬데믹(세계적 대유행)이 한창일 당시 이 범죄단이 병원 컴퓨터를 장악하려고 시도했다. 미 당국과 사이버 보안 연구자들이 해킹용 랜섬웨어가 설치되기 전 병원들에 경고했지만 해커들은 이를 쉽게 무력화한 것으로 나타난다.
병원을 공격한 주체는 미 연방수사국(FBI)가 트릭봇 그룹이라고 이름붙인 기업형 해커단으로 이들은 2018년부터 병원 응급실과 시청, 공립학교를 공격해 수천만달러를 받아냈다.
"타깃(target)"이라는 대화명의 트릭봇 소속 한 해커는 병원 공격이 무산되자 "웃기는 일"이라고 트릭봇의 최고 책임자 "스턴(stern)"에 메시지를 보냈다.
세계 최대이자 가장 위험한 사이버 조직범죄단이 나눈 대화가 공개된 것은 우크라이나 전쟁 때문이다. 우크라이나인이라고 밝힌 익명의 연구자가 트릭봇 서버에 침투해 확보한 대화 내용 자료를 지난달 27일 트위터에 공개한 것이다. 이 연구자는 지난 2일 "우크라이나여 봉기하라!"고 썼다.
미 사이버 보안 담당자들과 당국자들은 공개된 대화내용이 랜섬웨어 범죄단 운영 과정을 낱낱이 보여주고 있다고 말한다. 미국의 기관들도 트릭봇을 추적해왔지만 트릭봇의 운영과 내부 논의과정이 이번처럼 상세하게 공개된 적은 없었다.
2020년 6월부터 트릭봇 관리자들과 직원, 거래 상대자 450명이 주고받은 메시지 20만건을 보면 이 치밀하게 조직된 범죄단이 러시아 정보기관과 연계가 돼 있을 가능성이 나타난다. 대화 내용은 이 조직이 국제 사법기관들의 합동 반격에 신속하게 대응하고 범죄 영역을 확대하고 암호화폐를 개발하려는 계획까지 폭로하고 있다.
조직원들은 범죄 모의 내용부터 일상적 삶에 대해서도 대화를 주고 받았다. 관리자가 친러 첩보활동 부서를 신설하겠다고 공개하는가 하면 휴가계획도 짜고 조직원들 사이의 갈등도 조정하는 내용도 있다.
예컨대 트릭봇이 한때 즐겨 사용해온 콘티(Contio)라는 이름의 랜섬웨어 공격을 위해 기술적 내용을 조율하는 내용도 있으며 륙(Ryuk)라는 또 다른 랜섬웨어가 사이버 보안 전문가들에게 해킹됐다는 내용도 있다.
대화에 가담한 해킹프로그램 개발자는 과거 연방 수사당국이 트릭봇의 프로그래머로 지목한 대화명을 사용했다. 또 대화가 중단된 기간이 미 사법당국과 정보당국이 트릭봇의 컴퓨터 인프라를 망가트린 기간과 일치한다.
랜섬웨어는 표적 컴퓨터 네트워크를 장악하고 대가를 지불할 때까지 작동하지 못하도록 잠근다. 최근 사이버 범죄단이 주로 사용하는 방식이다. 미 재무부는 지난해 가을 미국 기업들이 지불한 것으로 미 은행들이 파악한 돈이 지난해 상반기 1년전보다 2배 이상 늘어난 6억달러(약 7325억원)에 달한다고 밝혔다.
바이든 대통령은 지난해 여름 푸틴 러시아 대통령에게 러시아에서 가해지는 랜섬웨어 공격을 제한하도록 조치를 취하라고 압박했었다. 랜섬웨어 공격을 포함해 사이버 범죄의 상당 부분이 러시아와 동유럽 지역에 근거지를 두고 있다고 사이버 보안 관계자 및 정부 당국자들이 밝히고 있다. 러시아는 러시아의 보안 기관이 사이버범죄에 연루되거나 방관한다는 비난을 부인해왔다.
당국자들은 사이버 범죄단들이 미국과 서방의 우크라이나 지원에 대한 보복을 감행할 수 있다고 경고한다. 폴 나카소네 국가안보국(NSA) 국장 겸 미 사이버사령관은 이달 상원 청문회에서 우크라이나 전쟁이 길어지면서 러시아가 랜섬웨어 또는 다른 사이버 공격을 할 수 있다고 경고했다.
28일 우크라이나군이 이용하는 인터넷 서비스가 대규모 사이버공격을 받아 작동하지 않았으나 공격자가 누구인지는 밝혀지지 않았다. 바이든 대통령은 지난주 러시아가 경제제재에 대한 보복으로 미국에 사이버공격을 할 것이라는 징후가 늘어나고 있다고 말했다.
미 당국자들은 트릭봇 그룹을 제재하는 방안을 검토중이다. 랜섬웨어 공격을 당한 미 기업들이 트릭봇에 돈을 주지 못하도록 하는 방안이 검토되고 있다.
바이든 정부는 러시아에 근거지를 두고 있는 랜섬웨어 범죄단을 최우선 국가안보 위협으로 간주해왔다. 지난해 콜로니얼 파이프라인사에 대한 공격으로 가솔린 공급을 중단시킨 것이 대표적 사례다. 미 법무부는 지난 24일 미 에너지 기업들을 공격해온 해커들을 1년 동안 추적한 끝에 러시아인 4명을 기소했다.
트릭봇은 가장 활발하게 활동하는 사이버 범죄단으로 이들이 사용하는 콘티 랜섬웨어는 지난해 압도적으로 많이 이용됐됐다. 트릭봇은 다른 범죄 협력자들이 콘티 랜섬웨어와 트릭봇의 서버를 사용할 수 있도록 허용하는 부속 프로그램도 운영하고 있다. 이들이 뜯어낸 범죄 수익금의 일부를 받는 대가로 랜섬 협상 방법을 가르치기도 한다.
트릭봇의 콘티 랜섬웨어가 지난해 병원과 911콜센터 등 미국의 응급기관 16곳을 공격했었다고 FBI가 밝혔다. 또 아일랜드 국립의료보험시스템을 공격해 의사들이 중풍과 암치료를 못하도록 막았다. 이 조직이 운영하는 다른 랜섬웨어 륙(Ryuk)은 2018년 이래 미국의 최소 235개 공립병원과 기타 의료기관을 공격하는데 사용됐다.
지난 달 27일 익명의 우크라이나 연구자가 공개한 대화내용은 콘티 랜섬웨어 운영자가 보관하던 것이다.
대화내용은 이들이 고도로 전문화돼 있으며 잔혹하기 짝이 없음을 잘 드러낸다. 표적을 가리지 않으며 돈을 벌기 위해 병원도 서슴없이 공격한다.
대화내용을 공개한 사람은 최근 몇 년 새 트릭봇 망에 침투한 소수의 사이버 보안 연구자들 중 한 사람이다. 이들은 대화내용을 들키지 않게 기록하고 공격 대상자들에게 사전에 공격 내용을 알려줌으로써 공격을 무산시키기도 했다.
2020년 9월 미 사이버사령부 등의 당국자들이 해커가 사이버공격을 위해 장악한 컴퓨터 수천대를 풀어냈다. 같은 시기 마이크로소프트사도 전세계 사이버 보안회사들과 공동으로 미국의 호스팅 회사 8곳에 트릭봇이 임대한 서버를 차단했다.
이번에 공개된 대화내용중 이에 대해 분개하면서 보복하는 방안을 논의하는 내용도 있다. 한 트릭봇 관리자가 트릭봇이 장악해 사용해온 컴퓨터들이 갑자기 작동하지 않아 모든 사람들의 사기가 저하될 것"이라고 불평하는 내용이다.
트릭봇은 즉시 다시 작업해 몇 주 안에 컴퓨터를 장악해 공격력을 회복하고 위험한 보복을 시작했다. 해커들이 미 병원에 은밀하게 침투해 코로나 팬데믹과의 사투를 방해하려 시도한 것이다. 사이버 보안 연구자들이 이를 사전에 미 당국에 알렸고 미 국토안보부가 병원들에게 경고한 끝에 피해를 최소화할 수 있었다.
국토안보부 사이버보안 및 인프라스트럭처 보안국 코로나 태스크포스에서 수석 전략가로 일했던 조슈아 코난은 "당시 만큼 긴장했던 적이 없었다"고 말했다.
병원 공격이 무산된 뒤 트릭봇 관리자가 자신들의 계획이 유출된 과정을 추적하는 내용이 대화내용에 있다, "모든 것을 자세히 살폈지만 PC에는 아무런 문제도 없다. 트래픽 유출이 없었다"고 한 관리자가 "스턴"에게 보고했다.
트릭봇은 콘티 랜섬웨어 공격으로 2020년 7000만달러(약 855억원), 지난해 2억달러(약 2442억원) 이상을 받아 공격 대상 기업들로부터 받아 챙겼다. 올해는 3월초까지 1350만달러(약 165억원)에 달한다고 블록체인 분석회사 체인어낼리시스가 밝혔다.
대화내용에는 트릭봇과 러시아 보안 당국자들 사이에 연계가 있음을 보여주는 것도 있다.
사이버 보안회사 맨디언트의 사이버범죄 분석책임자 킴벌리 구디는 "최소한 트릭봇 관계자 소수가 러시아 정보기관 또는 러시아 정부 기관과 관계를 맺고 있음을 강력히 시사하는 내용이 대화내용에 있다"고 말했다.
지난해 10월 한 "카가스(kagas)"라는 대화명을 가진 한 조직원이 트릭봇에 대해 러시아에서 수사가 재개된 것이 미 당국자들의 압박에 따른 것이라고 말하는 내용이 있다.
"수사관이 수사가 재개된 이유를 설명했다. 미국인들이 공식적으로 러시아 해커들에 대한 정보를 요청했다. 우리만이 아니라 러시아에서 잡힌 해커들 전체에 대한 정보를 요구했다…우리는 다음 화요일 소환됐다. 현재로선 증인 신분이다"라고 했다.
지난해 초 트릭봇 조직원들이 "러시아 연방에 반대활동을 하는 사람들"을 표적으로 삼은 적이 있다. 랜섬웨어 공격을 통해 큰 돈을 벌 수 있는 기회를 포기한 것이다.
대화내용에 해커중 한 사람이 오픈소스 조사단체인 벨링캣 관계자의 이메일에 침투했다고 주장하는 내용이 있다. 러시아 해외정보국(FSB)을 위해 정보를 수집했다는 것이다. 벨링캣이 2020년 러시아 반체제 인사 알렉세이 나발니에 대한 신경가스 공격을 파악하는 과정을 조사중이었다고 했다. 대화자 중 한 사람이 "우리는 애국자들"이라고 썼다.
러시아의 우크라이나 침공에 대해 다른 조직원이 "즐거운 휴일. 사이버 군대여!"라고 러시아 조국 수호의 날인 지난 23일 썼다. 이날 러시아군이 돈바스에 진입했고 하루 뒤 우크라이나를 전면 침공했다. 대화 내용은 "미국인들을 무찌르자!"였다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
