Offcanvas

CIO / 랜섬웨어 / 분쟁|갈등 / 비즈니스|경제

칼럼 | 우크라이나, 콘티 랜섬웨어, 그리고 ‘의도하지 않은 결과의 법칙’

2022.04.06 Matthew Tyson  |  CSO
러시아의 우크라이나 침공은 ‘의도하지 않은 결과의 법칙’을 가장 예상치 못한 방식으로 보여줬다. 현재 전 세계적으로 가장 왕성하게 활동하는 랜섬웨어 공격 집단이 우크라이나 침공을 공개적으로 지지했다가 역풍을 맞아 운영 능력에 일시적으로 타격을 입었고, 그 과정에서 랜섬웨어 공격 집단의 내밀한 정보가 대량으로 노출되는 전례 없는 결과를 낳았다. 
 
ⓒ Marco Verch(CC BY 2.0)


콘티 랜섬웨어란?

암호화 기술이 발전하면서 새로운 애플리케이션과 비즈니스 모델이 등장했다. 달갑지 않지만 랜섬웨어가 대표적이다. 클라우드 컴퓨팅과 결합한 치명적인 변종인 RaaS(Ransomware-as-a-Service)도 나타났다. RaaS 기법을 사용하는 공격자 가운데 2021년 가장 큰 성공을 거둔 집단이 바로 러시아 기반의 콘티(Conti)다.

랜섬웨어의 기본적인 전제는 컴퓨터 시스템의 데이터를 암호화해서 해독 키를 가진 사람만 데이터를 해독할 수 있는 상태로 만드는 것이다(콘티의 경우 AES-256 변형). 그런 다음 이 해독 키를 피해자에게 판매하는 수법을 사용한다. 훔친 데이터를 공개하겠다고 위협하는 이중 갈취(dual-extortion)와 결합되는 경우도 많다. 콘티는 이런 기본 ‘비즈니스 모델’을 정교하게 다듬어 2021년에만 2억 달러에 가까운 금액을 갈취했다.
 
기본적인 랜섬웨어 개념에서 다양한 변형이 파생됐다. 가장 두드러진 공격 세력은 조직화된 범죄 집단이다. 이런 범죄 조직의 상당수는 러시아 정보국의 암묵적인(또는 명시적인) 승인 하에 러시아에 본거지를 두고 활동하는 것으로 알려졌다. 이들은 러시아 내의 기업은 공격하지 않는 경우가 많다.

2021년 콜로니얼 파이프라인에 대한 공격은 콘티의 소행은 아니었지만, 랜섬웨어 문제에 대한 많은 관심과 정부의 전면적인 규제 대응을 촉발했다. 이 공격으로 미국 석유 인프라의 상당 부분이 랜섬웨어에 장악됐으며 콜로니얼 파이프라인은 범죄 조직이 요구한 75BTC를 지불했다. (이후 미국 연방수사국이 몸값의 상당 부분을 회수됐으나, 어떤 방법으로 회수했는지는 알려지지 않았다.)

콘티는 정부 기관, 기업, 개인까지 공격 대상을 가리지 않는다. 콘티 및 비슷한 유형의 다른 범죄 조직은 입으로는 병원과 학교를 공격하지 않는다고 말하지만, 콘티는 응급 의료진 및 의료 시스템을 공격해 코로나19 팬데믹 대응을 방해하고 아일랜드의 공공 의료 시스템을 공격해 큰 피해를 입힌 전력이 있다. 사이버 범죄 세계에서 명예를 기대하기는 어렵다.

여러 보고서에 따르면, 외부에 알리지 않고 조용히 랜섬웨어 몸값을 지불하는 사례가 꾸준히 발생하고 있다. 그사이 전 세계 사이버보안 전문가들은 랜섬웨어에 대응하면서 대중을 상대로 한 교육도 병행하고 있다.

이런 글로벌 무대에서 극적인 사건이 일어났는데, 바로 러시아의 우크라이나 침공이다. 


드러난 콘티의 내부

러시아가 우크라이나를 침공한 후 콘티는 푸틴을 지지하고 나서면서 침공에 반대하는 세력을 공개적으로 협박했다. 이 무모한 침공 지지 선언은 콘티 내부의 균열을 노출하는 결과로 이어졌다. 선언 직후 조직 내부, 또는 조직에 대한 접근 권한을 가진 누군가가 놀라운 내부 정보를 유출하기 시작하면서 ‘기업’으로 불리는 콘티의 은밀한 내부가 세세히 드러난 것이다.

콘티릭스(@ContiLeaks)라는 트위터 계정을 사용한 정보 유출은 기사를 작성하는 지금도 이어지고 있다. 조직원들의 채팅 로그, 소스 코드, 인프라 세부 사항, 각종 ID(깃허브 프로필 포함)를 포함한 많은 정보가 유출됐다.

채팅 로그는 주로 재버(Jabber) 서비스의 로그이며 콘티 최고위 구성원들의 통신 기록이 포함된 것으로 알려졌다. 정상적인 비즈니스를 논의하는 듯한 사이버 갈취 관련 대화 외에도 반유대주의, 여성 혐오와 같은 편견이 드러나기도 했고, 여느 원격 근무자들처럼 지루한 분위기도 있었다.

채팅 로그는 일상적인 따분함과 가공할 사이버 범죄 세계가 기묘하게 조합된 모습이었다. 가장 충격적인 것은 이런 프로세스가 너무 아무렇지도 않게 이뤄진다는 것이다. 콘티는 초보 공격자의 네트워크 침투를 도와주는 해킹 키트를 개발했다. (놀랍게도 콘티에 새로 고용된 인력 중 일부는 자신이 합법적인 화이트햇 침투 테스트 작업을 하는 것으로 믿고 있다.)

채팅 로그를 보면 조직원들은 암호화폐에 입문하는 가장 좋은 방법에 대한 생각을 묻는 등 비트코인과 같은 암호화폐에 큰 관심을 갖고 있다. 자체 탈중앙화 시스템을 구축한다는 야심 찬 이야기도 있다. 몸값 환전 속도를 높이거나 새로운 수익원을 마련하기 위해서일 수도 있고, 단순히 유행에 따르고자 하는 생각일 수도 있다. 무엇이 됐든, 콘티는 Log4Shell과 같은 최신 취약점을 이용하도록 지속적으로 역량을 개선하고 있다.
 

NFT, DEFI(Decentralized Finance), DEX(Decentralized Exchange)처럼 현재와 미래의 모든 새로운 트렌드를 따를 수 있게 해줄 우리만의 시스템을 구축하는 것이지. 다른 사람들이 우리 시스템에서 자체 코인, 환전소, 프로젝트를 만들 수 있도록 말이야.
- 유출된 콘티 채팅 로그 중에서


정보가 유출되면서 콘티와 러시아, 러시아 연방보안국(Federal Security Service, FSB)의 관계에 대해서도 더 많은 부분이 드러나고 있다. 유출된 자료는 바이러스토털(VirusTotal)에 게시됐다. 블리핑컴퓨터(BleepingComputer)는 유출 자료로 문제없이 로커/디크립터 패키지를 컴파일해서 실행할 수 있었다고 보도했다. 일종의 올인원 해킹 패키지인 악명높은 트릭봇(TrickBot) 소스도 유출됐다.


핵티비스트의 전성기

콘티는 이전에도 비슷한 상황에 처한 적이 있다. 지난 2021년 불만을 품은 한 ‘파트너’가 콘티에 대한 정보를 유출한 것이다. 그러나 최근 유출은 과거보다 더 전면적인 형태이며, 콘티의 활동에 지장을 초래한 것으로 보인다. 전문가들은 콘티가 사태를 수습하고 활동을 계속할 것으로 생각하지만, 예전과 같은 수준으로 활동할 수 있을지는 확실치 않다. 유출에 대처하기 위해 인프라의 상당 부분을 해체했기 때문이다.

유출 정보는 대부분 키릴 문자로 되어 있는데, 그 양이 매우 많다. 특히 랜섬웨어 운영자 식별 및 대응에 사용할 수 있는 실용적인 기술 정보와 관련된 구문을 분석하고 맥락을 찾기는 쉽지 않은 일이다. 그러나 이 정보가 콘티에 이미 지대한 영향을 미치고 있음은 분명하다. 유출의 여파로 콘티 우두머리가 몸을 숨긴 것으로 알려졌다.

우크라이나 침공의 영향을 받은 핵티비즘 사례는 더 많다. 예를 들어 비하이브 사이버시큐리티(BeeHive CyberSecurity)는 러시아 외무부 웹사이트를 다운시키는 공격에 성공했다고 밝혔다. 넓게는 이런 사례에서 사이버보안과 해킹 활동의 방향을 좌지우지하는 글로벌 커뮤니티의 정서가 가진 힘을 짐작할 수 있다. 침공으로 인해 실제 세계와 가상 세계가 상호작용하는 글로벌 커뮤니티에서 앞으로 발생할 일의 양상이 근본적으로 바뀌었을 수도 있다.

슬라브 국가를 공격하지 않는다는 과거의 통일성을 분열시킨 이 침공은 랜섬웨어 커뮤니티에 균열을 일으켰다. 콘티는 재정비한 후 다시 ‘갈취 비즈니스’로 복귀하겠지만, 그때 이들이 활동할 환경은 예전과는 다를 수 있다. 2021년 3월 21일 미국 대통령 조 바이든이 러시아의 사이버 공격 위협을 명시적으로 언급한 것처럼 이제 사이버보안과 사이버 범죄는 전 세계적으로 큰 영향력을 행사하는 요소가 됐다.

미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)은 일반적인 사이버보안 상황을 다루는 주의보를 지속해서 발령하고 있는데, 그중에는 콘티에 대한 주의보최신 경보도 있다. CISA는 유출된 자료에서 정보를 취합하고 해당 내용을 반영해 주의보를 업데이트하고 있다. 침해를 나타내는 지표와, 네트워크 액세스 권한을 획득하기 위한 콘티의 다양한 수법에 대한 데이터가 포함돼 있다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.