전체 명령 및 제어권, 해독키 확보 성공
“러시아 공격 안 해…러가 이들 배후로 추정”
소탕은 아직…영 내무장관 “계속 추적할 계획”
영국 국가범죄청(NCA)이 국제적인 공조 작전으로 세계 최대 랜섬웨어 해커집단 ‘록빗’의 웹사이트를 압수하고 전체 명령 및 제어권을 확보했다고 가디언이 20일(현지시간) 보도했다.
NCA는 이날 런던에서 기자회견을 통해 미국 연방수사국(FBI), 유로폴 등 총 10여 개국이 협력해 록빗을 잡는 ‘크로노스 작전’에 성공했다고 발표했다. 기업과 개인을 갈취하는 데 사용한 록빗의 웹사이트뿐 아니라 전 세계 랜섬웨어 기술을 관리하고 배포할 수 있는 인프라도 장악했다는 설명이다.
또 유로폴은 폴란드와 우크라이나에서 2명의 록빗 활동가를 체포했으며, 추가로 2명도 미국에서 체포ㆍ기소돼 재판을 받을 예정이다. 이들 4명 중 이름이 공개된 2명은 러시아 국적자다. 록빗은 옛 소련 국가 기업은 공격하지 않아 러시아가 배후로 추정되고 있다.
그래미 비거 NCA 국장은 “긴밀한 국제 협력을 통해 록빗 해커를 해킹해 인프라를 장악하고 소스코드를 압수했으며 피해자가 시스템을 해독하는 데 도움이 되는 1000개가 넘는 키를 확보했다”고 밝혔다.
록빗은 ‘서비스형 랜섬웨어’ 모델의 선구자로 꼽힌다. 대상 선정과 공격을 반독립적 계열사 네트워크에 아웃소싱하고 대신 도구와 인프라를 제공하고 수수료를 받는 구조다.
NCA은 록빗이 훔친 데이터를 복사한 후 몸값을 지불하지 않으면 사본을 삭제 및 공개하겠다고 협박해 왔는데 이 약속은 거짓이라고 강조했다. 록빗의 시스템에서 발견된 데이터 중 일부는 몸값을 지불한 피해자들의 것이었다.
2019년 등장한 록빗은 2000명 이상의 피해자를 표적으로 삼았으며 몸값으로 1억2000만 달러(약 1600억 원) 이상을 뜯어냈다. 세계 랜섬웨어 시장의 4분의 1을 차지하는 것으로 추정된다.
제임스 클레벌리 영국 내무장관 “NCA의 세계 최고 수준의 전문성은 세계에서 가장 많은 랜섬웨어 변종을 보유한 집단에 큰 타격을 입혔다”면서 “사악한 야망을 심각하게 무너뜨렸고 우리 사업과 기관을 표적으로 삼는 범죄 집단을 계속해서 추적할 것이다”라고 말했다.
전 세계 정부와 민간 수사기관은 록빗의 다음 행보를 면밀히 추적할 예정이다. 자원이 풍부한 랜섬웨어 헤커 집단은 컴퓨터 인프라를 재구축하고, 해킹 도구의 이름을 변경해 다시 활동하는 경우가 많다.
사이버 보안 회사인 레코디드퓨처의 랜섬웨어 전문가인 앨런 리스카는 CNN과의 인터뷰에서 “록빗의 핵심 구성원이 러시아에 기반을 두고 있기 때문에 이번 작전의 일환으로 체포될 가능성은 거의 없다”면서 “그럼에도 법 집행 기관이 록빗 웹사이트를 압수한 것은 단기간이라도 랜섬웨어 생태계에 상당한 영향을 미치고 공격 속도가 느려질 것임을 의미한다”고 설명했다.
아울러 NCA는 록빗 공격의 피해자들에게 연락해 데이터를 복구할 수 있도록 ‘핵 뱃’ 등 캠페인을 통해 지원할 예정이다.