Home > 전체기사
러시아, “레빌은 더 이상 존재하지 않는다”고 자신 있게 발표
| 입력 : 2022-01-17 15:31 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#정보보호 #정보보안 #IT보안 #사이버보안
러시아가 대단위 사이버 범죄자 체포 활동을 벌였다. 25개 장소를 덮쳐 14명을 체포하고 680만 달러의 범죄 자산을 압수했다. 미국의 요청을 들어준 것으로 보이는데, 왜 하필 지금처럼 복잡한 시기에 그렇게 한 것인지는 알 수가 없다.
[보안뉴스 문가용 기자] 러시아의 연방안보국(FSB)이 악명 높은 랜섬웨어 공격 단체인 레빌(REvil)의 주요 멤버들을 체포하고 공격 인프라를 폐쇄시켰다. 러시아에 숨어서 활동하는 사이버 공격 단체들에 대한 조치를 취해달라는 미국의 강력한 요청에 응한 것인데, 최근 국제 무대에서 두 나라의 관계를 생각하면 이해하기 힘든 시기에 발생한 사건이다.
FSB는 “현재 14명의 레빌 멤버들을 구금하고 있다”며 “25개 장소를 덮쳐서 수색하고 불법 자금을 압수하는 활동을 펼쳐서 나온 결과”라고 발표했다. FSB가 이번 작전을 통해 압수한 불법 자금은 총 680만 달러에 해당한다고 한다. 현금, 암호화폐, 20대의 고급 차량, 컴퓨터 장비 등을 총 합친 금액이다.
FSB는 레빌 체포 작전이 매우 복잡한 공조를 통해 이뤄졌다며, 공격 인프라의 무력화에 성공했다고 발표했다. “레빌은 더 이상 존재하지 않는다(REvil ceased to exist)”라는 표현까지 썼다. 공격 인프라와 불법 자금, 핵심 멤버들까지 다수 체포했으니 그렇게 말할 만도 하다. 또한 이번 작전으로 레빌이 외교 단체들을 겨냥하여 활동하고 있음 역시 드러났다고 한다.
이번 작전을 ‘공조’로 표현하는 이유는 FSB와 러시아 내무부가 협조했을 뿐만 아니라 미국으로부터의 정보 제공도 있었기 때문이다. 작년 미국의 바이든 대통령은 푸틴 대통령에 직접 전화를 걸어 “랜섬웨어 단체 체포에 러시아 정부가 나서주지 않는다면 우리가 하겠다”고까지 강하게 말하며 협조를 요청했었다. 그 때 푸틴 대통령은 조치를 취하겠다고 약속했었다.
하지만 시간이 좀 흐른 현재 미국과 러시아는 냉전 종식 이후 최대의 긴장 관계를 유지하고 있는 중이다. 우크라이나와 러시아의 국경 지대에 러시아가 군을 배치하는 것이 침공을 위한 준비로 보이기 때문이다. 러시아는 우크라이나의 NATO 가입을 완강히 반대하고 있는데, 이 조건이 성립되지 않는다면 군을 옮길 수 없다는 게 러시아의 입장이다. 미국과 NATO는 우크라이나를 가입시키겠다는 의견을 꺾지 않고 있다. 그런 때에 갑자기 미국 요청에 응해 레빌을 일망타진했으니, 시기가 미묘하다는 이야기가 나올 수밖에 없다.
레빌은 소디노키비(Sonikokibi)라고도 알려진 랜섬웨어 그룹으로 2020년 처음 나타나 다크웹에서 랜섬웨어 장사를 시작했다. 그러면서 지난 한 해 JBS푸드(JBS Foods) 사건을 일으키면서 미국과 호주 내 가공육 유통을 일시적으로 마비시켰다. 그 사건 직후 카세야(Kaseya) 사태를 일으키면서 카세야의 고객사 수천 곳에 고통을 주기도 했다. 그러자 미국 사법부는 레빌 단체에 1천만 달러의 현상금을 걸기도 했다.
이럽 러시아의 움직임에 대해 보안 업계의 반응은 갖가지로 갈리고 있다. 일부는 러시아의 의중이 순수 범죄 소탕 및 미국 지원에 있지는 않을 것이라고 보고 있다. 쉬프트5(Shift5)의 공동 창립자인 조시 로스피노소(Josh Lospinoso)는 “팽팽한 회담이 진행되는 가운데 러시아가 갑자기 미국의 요청을 들어줬다는 건, 자기의 주장을 들어달라는 메시지”라고 해석한다. “또한 이런 소탕 작전을 대대적으로 알림으로써 ‘러시아 정부와 러시아 해커들 간에는 유착 관계가 형성되지 않았다’고 주장할 수도 있게 됩니다.”
또한 로스피노소는 “사이버 범죄 집단 대부분 그렇긴 하지만 러시아에 근거를 두고 있는 자들은 사법 활동이 활발하게 벌어져서 사라진 듯 하더라도 늘 다시 나타나곤 한다”고 덧붙였다. “특히 푸틴 정권 아래 활동했던 대부분의 해킹 단체들이 다 그랬습니다. 개인적으로 레빌이 다시 살아난다는 데에 한 표 던집니다.”
보안 업체 이머시브(Immersive)의 수석 연구 책임자인 케빈 브린(Kevin Breen)은 “요즘 러시아가 국제 무대에서 여러 나라와 복잡한 관계를 맺고 있어 이번 작전이 어떠한 의중으로 진행됐는지 파악하기 힘들다”는 입장이다. “시간이 지나기 전까지는 아무도 이것을 제대로 이해할 수 없을 겁니다. 만약 러시아가 지속적으로 국제 사회와 협력해 러시아 내부의 사이버 범죄자들을 잡아들이면, 우리는 그제야 러시아가 국제 공조에 참여하려는 의도를 가지고 있다고 판단할 수 있을 겁니다.”
보안 업체 트러스트웨이브(Trustwave)는 지난 해 11월 다크웹을 관찰하다가 일부 공격자들 사이에서 오가는 말에 대하여 발표한 바 있다. 러시아 영토 내에서 활동하는 사이버 범죄자들 사이에 “사법 기관이 목을 조여 온다”는 우려 섞인 대화들이 관찰됐다는 내용이었다. 실제 체포될 확률과, 선고 가능성 높은 형량을 자기들끼리 예측하는 것도 목격됐다고 한다. 최근 랜섬웨어 공격자들을 찾아나선 미국의 정보 기관들과 사법 기관들 때문에 여러 해킹 포럼에서는 ‘랜섬웨어’를 금지어로 정해두고 있기도 하다.
보안 업체 스테어웰(Stairwell)의 위협 분석가인 실라스 커틀러(Silas Cutler)는 “일단 랜섬웨어 소탕을 위해 자기들도 애를 쓰고 있다는 걸 드러내고 싶은 것 정도는 러시아 정부의 수많은 의도 중 하나일 것”이라고 보고 있다. “하지만 사이버 범죄자들은 크게 개의치 않는 모습을 보이고 있습니다. 특히 ‘이번에 체포된 자들이 핵심 멤버일리 없다’는 게 다크웹의 주류 의견입니다. 경찰들에게 보호비를 제대로 내지 못한 중간급 관리자 정도 될 거라고 다들 보고 있습니다. 반쯤은 농담이기도 하지만, 반쯤은 진지하기도 합니다.”
3줄 요약
1. 러시아의 정부 기관, 레빌 갱단 체포하고 공격 인프라까지 무력화.
2. 미국의 정보와 요청을 받아, 내무부와 연계하여 대단위 작전 벌인 듯.
3. 러시아의 의중은 무엇일까, 많은 이들이 열심히 추측 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
보안뉴스 원병철) [단독] KT 고객 유심 복사로 암호화폐 탈취? ...
