콜로니얼 파이프라인 가동 중단 여파로 기름난이 심각해진 지난 5월 11일(현지시각), 미국 노스캐롤라이나주 샬롯의 한 주유소에 차들이 기름을 넣기 위해 길게 줄을 서 있다. ⓒphoto 뉴시스
콜로니얼 파이프라인 가동 중단 여파로 기름난이 심각해진 지난 5월 11일(현지시각), 미국 노스캐롤라이나주 샬롯의 한 주유소에 차들이 기름을 넣기 위해 길게 줄을 서 있다. ⓒphoto 뉴시스

복잡한 파이프와 펌프, 크고 투박해보이는 기계와 기름때 묻은 작업복, 그리고 새까만 원유. 석유산업은 거칠고 투박한 냄새가 물씬 나는 이미지를 갖고 있지만 이미 상당 부분 디지털화돼 있다. ‘콜로니얼 파이프라인’은 미국의 최대 송유관 운영 기업이다. 수백~수천㎞ 길이의 송유관 속 디젤과 휘발유 등은 사람이 아니라 소프트웨어로 관리하고 제어한다. 압력센서와 온도조절장치가 작동하고 ‘스마트 피그(Smart Pig)’라는 최첨단 로봇이 송유관 속을 돌아다니며 이상징후가 없는지 체크한다.

미 텍사스주 걸프만에서 동부 뉴저지까지 약 8000여㎞의 송유관을 운영하는 콜로니얼 파이프라인은 지난 5월 7일 밤 사이버 범죄자의 랜섬웨어 공격을 받은 뒤 운영을 멈춰야 했다. 이 파이프라인은 미국 남동부 지역에서 소비되는 석유류의 45%를 공급하는 중요 시설이다. 송유관이 장애를 겪자 일부 지역에서는 70% 이상의 주유소가 영업을 중지했다. 불안해진 사람들은 주유소로 몰려가 긴 줄을 이루며 기름을 사재기하는 일이 벌어졌다. 공급이 부족한 탓에 2014년 이후 휘발유 가격이 배럴당 3달러가 넘는 일이 미국에서 처음 벌어졌다.

코드 몰라도 공격할 수 있도록 도와

당장 복구가 급했던 콜로니얼 파이프라인은 복구의 대가로 75비트코인(거래 당일 기준 약 500만달러)을 지불했고 해커들은 시스템 암호해독 도구를 건넸다. 하지만 복구 속도는 더뎠고 국가 시설에 대한 공격으로 간주한 조 바이든 미 대통령은 비상사태를 선포하며 이번 사건을 유례없는 일로 규정했다.

미국 정부의 관심을 끈다는 건 범죄자들에게 곤란한 일인데, 이번 해커들은 의도치 않게 그 일에 맞닥뜨렸다. 지난 5월 10일 미 연방수사국(FBI)은 이번 사건의 배후로 ‘다크사이드(Dark Side)’라는 해킹조직을 지목했다.

다크사이드는 러시아를 기반으로 삼은 조직이라는 게 정설이다. 대부분 영어권 기업을 공격 대상으로 삼고 있다는 점, 표적으로 삼은 대상이 사용하는 언어를 프로그램이 체크하도록 돼 있다는 점에서 그렇다. 만약 피해자의 시스템이 러시아어·우크라이나어·벨라루스어·아르메니아어·조지아어·카자흐스탄어 등 러시아의 지정학적 이해와 밀접한 국가의 언어를 사용할 경우 공격을 차단하도록 설계돼 있다. IT전문매체 와이어드는 “과거부터 크렘린궁은 사이버 범죄자들이 자국에 피해를 끼치지 않는다면 자유롭게 활동하도록 내버려두는 경향이 있었다”고 지적했다.

사이버 범죄 생태계를 조사하는 보안업체 ‘인텔471(Intel471)’에 따르면 다크사이드가 처음 포착된 건 2020년 11월 러시아어 해커 포럼에서다. 이곳에서 그들은 랜섬웨어 서비스 파트너를 모집하는 광고를 냈다. 여기서 파트너란 자신들의 악성코드를 활용해 어딘가를 공격할 사람을 뜻했다. 다크사이드는 랜섬웨어를 제공해 대가를 얻어낼 수 있도록 돕는 일종의 소프트웨어 제공 플랫폼이었다.

그들은 “우리는 이미 다른 파트너들과 제휴해 수백만달러의 이익을 얻었다. 우리가 다크사이드를 만든 이유는 우리가 찾는 제품을 발견하지 못했기 때문이다. 이제 우리는 그런 악성코드를 보유하고 있다”고 주장했다. 보통 랜섬웨어는 피해자의 데이터를 암호화해 열지 못하게 만들지만 다크사이드의 소프트웨어는 파일을 암호화하기 전에 데이터를 먼저 빼내는 최신 기법을 쓰고 있다.

후드티를 모자까지 눌러 쓰고 어두운 방안에서 피자를 씹어 먹으며 프로그래밍 언어를 빠르게 타이핑하는 영화 속 해커의 이미지는 이들과 어울리지 않는다. 그들은 비즈니스 문법에 충실하다. 2021년 3월 새로 출시한 프로그램 ‘다크사이드 2.0’은 누구나 사용하기 쉽게 설계됐다. 전문적인 해커가 아니더라도 어렵지 않게 사이버 범죄를 저지를 수 있는 프로그램이라고 한다. 가디언은 “다크사이드의 소프트웨어 패키지에는 대시보드가 있다. 기술을 잘 모르는 관리자가 코드를 전혀 알지 못해도 복잡한 프로그램을 실행할 수 있도록 돕는 시각적 도구다”라고 전했다.

이 프로그램은 랜섬웨어 공격 이후 벌어지는 협상 과정들을 고려해 여러 가지 기능을 제공하는 것으로 전해진다. 예를 들어 피해자에게 보낼 데이터 샘플 등도 쉽게 만들 수 있다. 인텔471이 입수해 공개한 사이버 공격자와 피해자의 대화를 보자.

“경영진 입장에서는 당신이 어떤 데이터를 가져갔는지 알아야 한다. 우리 자료를 당신이 가지고 있다는 증거를 제시할 수 있나?”

“있다. 샘플을 제공하겠다.”

“돈을 받은 뒤 우리가 공격당했다는 사실을 알리거나 유출된 데이터를 팔지 않아야 한다.”

“당연히 그렇게 하지 않을 것이다. 데이터는 보관한 서버에 접근해 직접 삭제한다. 그리고 당신들이 어떤 사이버 공격에 노출됐는지, 그리고 어떻게 개선해야 할지에 대해서 보고서를 제공할 수도 있다.”

큰 사냥감 찾도록 유도하는 수수료 구조

랜섬웨어 공격은 수익성이 매우 높은 사업이다. 피해 기업, 혹은 집단으로부터 수십만~수백만달러를 쉽게 벌어들일 수 있다. 범죄자들은 이 사업을 ‘로 리스크-하이 리턴’ 사업이라고 생각한다. 일단 범죄를 저지른 이들을 잡는 게 쉽지 않다. 피해자들은 고객에 대한 신뢰를 잃지 않기 위해 자신들이 보관한 데이터에 문제가 생겼다는 사실 자체를 외부에서 알게 되는 걸 원치 않는다. 이미 벌어졌지만 없었던 일처럼 넘어가길 원한다. 게다가 사이버 범죄 특성상 전 세계 네트워크를 거쳐 벌어지기 때문에 여러 국가의 국경을 넘나드는 경우가 많다. 랜섬웨어를 억제한다는 건 전 세계적인 공동의 노력을 요구하는 일이고 그만큼 난이도가 큰 작업이다.

원래 랜섬웨어 공격은 기술 장벽이 높은 범죄였다. 만약 어떤 사이버 범죄자가 한 기업을 공격하고 싶다면? 프로그래밍 능력을 갖추지 못하면 불가능한 일로 여겨왔다. 그런데 이제는 기술이 없는 그 누구라도 범죄를 실행하는 데 제약이 없는 시대가 왔다. 프로그래밍 지식 대신 지갑이 더 중요해진 것이다. 사이버 보안업체 ‘그룹IB’의 조사에 따르면 2020년 벌어졌던 랜섬웨어 공격 3건 중 2건은 악성코드 프로그램을 구입하거나 임대해 벌어졌다. 보안업계에서는 이를 두고 ‘랜섬웨어의 서비스화(Ransomware-as-a-Service·RaaS)’라고 부른다. 이제는 랜섬웨어 소프트웨어가 필요하다면 다크웹 포럼에서 악성코드를 판매하거나 임대하는 사람을 찾으면 된다.

블록체인 분석업체인 ‘체인애널리시스’에 따르면 랜섬웨어 공격은 지난해 폭발적으로 증가했다. 올해는 더욱 늘어날 것으로 보인다. 사이버 범죄자들은 주로 데이터의 대가로 암호화폐를 요구한다. 2019년 랜섬웨어의 피해로 지급한 암호화폐 가치는 9294만달러(약 1049억원)로 추정됐는데 2020년에는 4억634만달러(약 4587억원)로 급증했다. 2021년에 공격받은 피해자들은 이미 1월 한 달에만 8155만달러(약 920억원)에 상당하는 암호화폐를 지급했다. 체인애널리시스는 “이 중 4600만 달러(519억원) 정도가 다크사이드의 파트너 쪽으로 갔다”고 분석했다.

2020년 새롭게 등장한 랜섬웨어 서비스(RaaS) 업체는 15곳 정도로 파악되는데 단연 두각을 나타낸 조직이 이번에 문제가 되고 있는 다크사이드다. 이런 집단들끼리도 치열한 경쟁이 펼쳐진다. 자신들이 제공하는 소프트웨어를 활용해 누군가가 피해를 봐야 수익이 생기는 비즈니스 모델을 갖고 있기 때문이다. 지난 3월 출시된 최신 프로그램 ‘다크사이드 2.0’을 활용할 경우 공격 파트너는 50만달러 이하의 대가를 받을 경우 최대 25%를 다크사이드에 지불해야 한다. 500만달러 이상의 빅머니 협상에 성공할 경우 다크사이드에 지불하는 수수료는 10%다.

이런 수수료 지불 방식은 범죄자들에게 더욱 덩치가 큰 사냥감을 공격하도록 유도한다. 어차피 같은 한 건이라면 잠재적 이익이 더 큰 타깃을 대상으로 삼는 게 유리한 구조다. 콜로니얼 파이프라인에 요구했던 금액도 빅머니의 기준인 500만달러였다. IT전문매체 지디넷은 “연간 수익이 최소 10억달러 이상인 기업을 공격 대상으로 삼는 것으로 보인다”고 전했다.

최근 다크사이드에 피해를 입은 곳의 면면을 보면 빅머니 선호 경향이 뚜렷하다. 독일에서는 화학기업인 브렌탁(Brendag)이 공격을 받고 440만달러 상당의 비트코인을 지급해야 했다. 150기가바이트에 달하는 민감한 데이터를 복구할 수 있는 키를 받는 유일한 방법이 협상 외에는 없었기 때문이다. 지난 5월 4일에는 도시바 유럽사업부가 공격을 받았지만 보안 관계자들이 재빠르게 대처한 덕분에 위기를 넘긴 일이 있었다.

이처럼 범죄자들이 큰 사냥감을 찾는 일을 반복하다가 도착한 곳이 콜로니얼 파이프라인이었다. 미국의 기간시설인 송유관을 건드린 이유와 관련해 여러 추측이 제기됐는데 그중 가장 설득력 있는 시나리오가 ‘큰 사냥감’ 이론이다. 빅머니를 좇는 파트너들이 다크사이드의 통제력 밖에서 사고를 쳤다는 얘기다. 결국 다크사이드가 만든 무기 탓에 사이버 범죄의 진입장벽이 낮아져서 생긴 사건인 셈이다. 그간 다크사이드는 돈을 좇을 뿐, 정치적인 문제가 생길 만한 공격은 하지 않는다고 주장해왔다. 송유관 운영이 멈추고 미국 정부가 다크사이드를 지목하며 강경하게 나오자 그들은 즉각 “우리의 목표는 돈을 버는 것이지, 사회에 문제를 일으키는 것이 아니다”며 굽히고 나온 것도 이런 추측을 뒷받침한다.

“은퇴 아닌 리모델링 시도할 것”

어쨌든 미국의 콧털을 건드린 무개념 파트너 때문에 다크사이드는 지금 매우 곤궁한 처지에 몰린 것으로 보인다. 러시아의 사이버 보안업체인 ‘카스퍼스키(Kaspersky)’는 홍보용 블로그를 운영하거나 대가를 협상하는 데 활용했던 다크사이드의 서버가 마비됐다고 전했다. 그들의 암호화폐 지갑도 텅텅 비었다. 누구에 의해 이런 전방위적인 마비가 일어났는지 아직 알려진 건 없다. 다만 미국이 강경대응을 천명하고 며칠 지나지 않아 일어난 일이다. 다크웹 포럼은 일대 혼란과 충격에 빠졌다. 궁지에 몰린 다크사이드는 ‘은퇴’하겠다는 뜻을 밝혔다.

정말로 다크사이드가 랜섬웨어 세계에서 물러날까. 믿지 않는다는 쪽에 표를 던지는 사람들이 많다. 사이버 보안기업 사이잭스(Cyjax)의 이안 손턴-트럼프 보안책임자는 “은퇴가 아니라 리브랜딩일 거라고 본다”고 말했다. 비즈니스 모델은 바뀔 수 있어도 다크사이드와 같은 팀이 사라지지는 않을 거라는 얘기다. 다크사이드 2.0을 사용하는 범죄자들이 볼 때 보안을 헐겁게 유지하며 안방 문을 활짝 열고 있는 기업들이 전 세계에 너무 많다.

키워드

#뉴스 인 뉴스
김회권 기자
저작권자 © 주간조선 무단전재 및 재배포 금지