현대의 몇몇 사이버 범죄 집단은 마치 일반 기업처럼 운영되는 양상을 보인다. 복잡다단한 비즈니스 문제에 직면하거나 이익을 추구하는 모습이 그렇다.
사회성이 결여된 외톨이. 이것이 해커의 이미지에 대한 고정관념이었다. 하지만 이제 이런 시대는 지나가고, 새로운 세대의 해커들이 등장했다. 바로 사이버 범죄 조직에서 일하는 해커들이다. 엔드포인트 보안 업체 브로미엄(Bromium)의 2018년 연구에 따르면 이 기괴한 사업이 기하급수적으로 성장해 연간 사이버 범죄 피해액이 1조 5,000억 달러에 달했다.
사이버 범죄 수단이 매우 고도화되고 정교화되면서 이에 따른 피해 규모가 크게 불어난 것이다. 사이버 범죄가 이토록 빠르게 발전하는 가장 명료한 이유는 돈이 되기 때문이다. 그 결과 체계적인 사이버 범죄 조직이 범람하게 됐다. 흥미로운 점은 이러한 범죄 조직조차도 일반 기업과 같은 우여곡절을 겪는다는 것이다. 사이버 범죄 업계가 전형적인 회사처럼 대외 이미지 등의 고민거리와 씨름하는 우스꽝스러운 모습을 구경할 수 있게 됐다.
범죄 조직의 사업 방식
우리가 범죄라고 여기는 행동을 사업이라고 생각하는 사이버 범죄 조직이 있다. 따라서 이 기사에서 수익을 창출하지 못하는 해킹은 (파괴 또는 개인적인 만족을 위한 해킹)은 논외로 하겠다.
영리 사이버 범죄 조직은 사업 방식은 크게 6개로 나뉜다.
1.사이버 절도.
조직과 개인으로부터 돈이나 기타 자산(사용자 데이터 및 지적 재산 등)을 탈취한다.
2.불법 데이터 거래.
탈취한 데이터(신용카드 정보 및 기타 개인 식별 가능 정보)를 거래해 수익을 남긴다.
3.웹 기반의 암시장.
마약 및 야생 동물 거래 같은 위법 활동이 특정 웹사이트에서 이뤄진다.
4.범죄 비즈니스 도구 및 서비스.
채용 공고 게시판과 같은 일반적인 비즈니스 서비스의 복사판이다.
5.크라임웨어 혹은 서비스형 범죄(Crime-as-a-Service,CaaS).
다양한 사이버 범죄용 도구를 제공하는 서비스다. 대표적으로 익스플로잇키트(exploit kit)라는 도구가 있다. 이는 해커가 악성 코드를 작성하고 구축하도록 도와주는 맬웨어 소프트웨어 번들이다.
6.랜섬웨어 혹은 서비스형 랜섬웨어(RaaS).
데이터를 암호화해 몸값을 노리고 보관하는 범죄 비즈니스다.
위에 언급한 해커의 채용 공고 게시판이나 도난 데이터 시장 같은 사업 방식을 보면 묘한 생각이 든다. 굳이 묘사하자면 기존 기업의 사악한 쌍둥이 같다. 그 방법이 악질적이라는 점만 빼고 본다면, 효율적으로 이윤을 추구하는 제법 그럴듯한 사업으로 보이기도 한다. 비유하자면, 시험에서 부정행위를 저지르는 데 들이는 노력을 공부에 쏟는다면 빛을 발휘할 수 있을 것 같은 학생 같기도 하다.
하지만 이들은 냉정한 평가를 받을 수밖에 없다. 결국 남에게 해를 끼치기 때문이다. 계좌 접속이 끊기는 개인적인 피해부터 사회기반시설 마비 같은 대규모 타격까지, 그들이 미치는 악영향은 중대한 사회적 문제다. 모든 업종에 미친 피해액은 확정하기 어렵지만, 영국의 보안 소프트웨어 및 하드웨어 업체 소포스(Sophos)의 2020 랜섬웨어 보고서(2020 State of Ransomware)에 따르면 "최근 랜섬웨어 공격으로부터 회복하는 데 들어간 평균 비용(다운타임, 업무시간, 기기 및 네트워크 복구 비용, 기회비용, 랜섬 대가 지불 등)은 대가를 지불하지 않는 기업의 경우 73만 달러였다. 대가를 지불한 기업의 경우 평균 비용은 140만 달러로 치솟는다”라고 알려졌다.
사이버 범죄 조직도 HR과 PR 문제로 씨름한다
일반 IT 회사의 직원들도 과로와 정신 건강상의 문제로 시달린다. 그런데 세상에 악을 퍼뜨리는 것이 주된 목적인 회사에서 일한다면 어떤 마음가짐일지 상상해보라.
동기부여 요인 중 하나는 단순히 탐욕일 수 있다. 실제로 사이버 범죄 업계 종사자는 다른 IT 업계 종사자보다 더 많이 번다. 또한 세상에는 그저 비양심적인 사람도 있기 마련이다. 하지만 이렇게 간단히 치부하기에는 사이버 범죄 업계의 규모가 너무 크다. 이런 범죄 사업에 가담하는 사람과 기업이 수두룩하다. 게다가 이들이 지금까지 이뤄낸 ‘성과’를 보면 수많은 사람이 합작하여 끈질기게 이 일에 매달린 듯하다.
최근 우크라이나 정부의 연구원이 콘티(Conti) 그룹의 랜섬웨어 소스코드를 유출한 사건만 봐도, 현대 해커들의 삶은 전형적인 회사 생활과 유사하다. 칠레 방코 산탄데르 은행(Banco Santander)의 보안 연구원 대니얼 커스버트는 "내게 이 유출 사건은 그저 전형적인 사내 정치 사건으로 느껴졌다. 연애 문제, 휴가 문제, 동료와의 교류 문제, 불신 같은 불화 말이다”라고 말했다.
즉, 사이버 범죄 업계 종사자들도 월세를 내기 위해 뼈 빠지게 일하는 평범한 직장인과 크게 다를 바 없다는 것이다.
사이버 범죄 조직의 직원들이 이렇듯 업무의 부도덕한 본질을 잊고 평범한 직장인처럼 행동하는 데에는 일종의 ‘철학’이 뒷받침될 가능성이 높다. 마치 자신들이 부조리한 세상에 대항하는 정의의 사도가 된 듯한 사명감에 빠져 있을 수 있다는 것이다. 예를 들어 미국을 중심으로 한 탐욕스러운 서방 세계에 맞서며 자신이 억압받고 있다고 생각하는 슬라브 국가들이 있다. (이는 실제로 병원 같은 곳을 공격하지 않겠다고 주장하는 많은 랜섬웨어 단체들의 명분이기도 하다. 다만 이 약속은 대부분 지켜지지 않았다.)
그들은 나름의 철학과 규칙을 가지고 있다. 예컨대 ‘우리 편’은 공격하지 않는다는 규율이 있다.
따라서 콘티 그룹이 우크라이나를 배신하고 러시아 정부를 지지하기로 한 것과 같은 일이 벌어지면 그들의 명분은 크게 훼손된다. 콘티 그룹이 ‘같은 편’인 우크라이나인을 겨냥하는 공격을 지원하기로 한 이상 그들의 ‘계약’은 산산이 조각난 것이다. 실제로 콘티 그룹과 그들의 명성이 대외적으로 심각한 타격을 받았다고 전해진다.
필자를 포함한 많은 애널리스트는 콘티 그룹이 큰 타격을 받았더라도 계속 운영은 되리라 믿었다. 하지만 이는 잘못된 예측이었다. 우리는 가지고 있었던 콘티 그룹에 대한 전제가 정확하지 않다는 것을 깨달았다.
일반 기업에서 이러한 사태가 벌어진다면, 기업은 PR 업체와 계약을 끊고, CMO를 교체한 뒤, 전격적인 리브랜딩과 손실 회복 작업에 착수할 것이다. 하지만 콘티 그룹은 속수무책이었다. 환상이 깨지자 실존적 위기에 처했다. 인지적 부조화가 너무 심해진 것이다. 현재 콘티 그룹은 해체된 듯하다.
사이버 범죄 조직은 일찍이 PR의 중요성을 알고 꾸준히 운영해왔다. 주요 해킹을 알리고자 보도자료를 발행하는 것은 일반적인 관행이 됐다. 코스타리카 정부를 겨냥한 랜섬웨어 공격의 대대적인 홍보는 비록 실패했지만 존재감을 과시하려는 시도였다. 사이버 범죄 집단에게 악명 높은 명성을 유지하는 것은 매우 중요하다. 공격 대상에게 겁을 줌은 물론 필요한 인재를 끌어모을 수 있기 때문이다.
이 외에도 각종 랜섬웨어 조직은 탈취한 정보를 공개하겠다고 협박하는 등 미디어를 이용하는 양상을 보이기도 한다.
국가 차원의 범죄로 격상
기존 범죄 조직이 그렇듯, 비윤리적이고 부패한 정부(또는 정부 관계자)와 연관되어 있는 사이버 범죄 조직이 있다. 인터넷의 분산성과 유연성은 국가 차원의 해킹을 가능케 했다. 특히 민족주의 국가와 사이버 범죄는 실로 밀접한 관계를 가진다. 사이버 공간은 모든 위협자의 핵심 영역이 된 지 오래다. 여러 민족국가를 포함하여 권력과 지위를 노리는 수많은 악당들의 주요 근거지 중 하나로 자리매김했다.
사이버 범죄 조직 대부분은 몇몇 정부로부터 암묵적으로, 혹은 노골적으로 후원을 받는다. 사보타주 공격이나 간첩 활동을 사업으로 변장한 것뿐이다. 그렇다면 사이버 전쟁과 사이버 범죄에 차이가 있기는 할까?
필자도 이 질문에 대한 답을 모르겠다. 정말이지 기괴한 ‘사업’이 아닐 수 없다.
*Mattew Tyson은 다크 호스 그룹 설립자이자 인간 우선적 기술을 강조하는 칼럼니스트다. ciokr@idg.co.kr