은퇴 선언한 스캐터드랩서스헌터스, 의심 먼저 드는 건

스캐터드랩서스헌터스(Scattered Lapsus$ Hunters)라는 악명 높은 해킹 그룹이 은퇴를 선언했다. 이제 해킹 세계에서 사라지겠다는 것이다. 그 동안 운영해 왔던 자신들의 텔레그램 채널을 통해 발표하더니, 유명 해킹 포럼인 브리치포럼즈(BreachForums.hn)에도 공지글로 올렸다.

이 발표는 얼마 전 발생한 재규어랜드로버(JLR) 해킹 사건에 대한 용의자로 스캐터드가 지목된 후에 있었다. 약 72시간의 침묵 후 돌연 작별인사를 한 것으로, 일각에서는 이들이 상황을 잘 빠져나가기 위한 탈출 계획을 세웠을 것이라 보고 있다. 즉, 이들의 은퇴를 의심스러운 시선으로 바라보고 있는 것으로, 그 동안 해킹 그룹들이 은퇴를 발표하고서 지킨 적이 거의 없기 때문이다.

은퇴 편지에는 어떤 내용이?
이들의 은퇴 선언문은 서툰 영어로 작성돼 있어 해석이 쉽지 않다. 하지만 “지난 2024년 4월부터 지금까지 8명이 검거 혹은 압수수색을 받아왔고, 그 중 4명이 현재 프랑스에서 구금되어 있다는 사실이 은퇴를 결정하는 데 결정적인 역할을 한” 것으로 보인다. 앞으로 이들은 투타노타(Tutanota)라는 암호화 이메일 서비스 등 공격 도구들을 폐기시킬 것이라고 밝히기도 했다. 그런 도구들의 추적의 빌미를 제공하기 때문.

하지만 무서워서 도망가는 건 아니라고 주장했다. “재능과 기술만으로는 부족하다”거나 “기획과 권력이 세상을 지배한다”는 등의 표현을 쓰며, “자신감과 명성보다 침묵이라는 진정한 힘에 의지하겠다”고 선언한 것이다. 그러면서 “조용히 시스템을 연구하고 발전시켜 나갈 것”이라는 말도 덧붙였다. 작성자의 정확한 의도는 해석하기 나름이겠지만, 이들이 그동안 해왔던 것처럼 여러 대형 조직들을 은밀히 염탐하겠다는 의미로 보이기도 한다. 전면에 모습을 드러내지만 않을 뿐, 그들만의 진실이라는 것을 계속해서 추구하겠다는 선포일 수 있다.

또한 “에어프랑스, 아메리칸항공, 브리티시항공, 케링 같은 기업들이 침해된 사실도 알고 있다”며 “앞으로 이런 조직과 관련된 데이터 유출 소식이 나올 것”이라고 예고하기도 했다. 앞으로 자기들이 한 것처럼 해킹 사건 소식이 보도된다 하더라도 이미 이뤄진 것들에 대한 뒷북일 뿐, 자신들이 계속 하던 일을 하는 건 아닐 거라는 의미다. 완전히 사라지겠지만 꼬리는 길게 남을 수 있다는 것으로, 이 주장이 사실이라면 해당 기업들에서는 긴급 보안 점검이 필요해 보인다.

은퇴 번복, 어쩌면 당연한 수순
보안 업계가 해킹 조직들의 은퇴 발표를 믿지 않는 건 그 동안 여러 사례가 있어왔기 때문이다. 2019년 갠드크랩(GandCrab)이라는 랜섬웨어 그룹의 경우 은퇴를 약속하고서 사라졌지만, 나중에 소디노키비(Sodinokibi) 랜섬웨어로 이름만 바꿔서 재등장했다. 물론 갠드크랩 일원들이 고스란히 소니도키비가 된 것은 아니고, 일부 멤버들이 새롭게 활동을 시작한 것으로 추정된다. 그럼에도 은퇴를 번복했다는 건 사실이다. 이 소니도키비는 훗날 레빌(REvil)이라는 이름으로 악명을 떨친다.

다음 해인 2020년 메이즈(Maze)라는 랜섬웨어 그룹도 은퇴를 선언했다. 하지만 이들이 사라진 직후 새로운 랜섬웨어 그룹이 등장한다. 이그레고르(Egregor)라는 단체였는데, 알고 보니 메이즈의 후신이었다. 메이즈와 전략도 비슷했고, 인프라도 대동소이했다. 2022년 콘티(Conti) 랜섬웨어는 없어지겠다고 하더니 블랙바스타(BlackBasta)로 개명했고, 올해 7월 유명 해킹 단체 헌터스인터내셔널(Hunters International)은 복호화 키까지 무료로 제공하며 은퇴했지만 월드릭스(World Leaks)라는 이름으로 부활했다. 

왜 공격자들은 하지도 않을 은퇴를 선언하는 걸까? 여기에는 여러 가지 이유가 존재한다.

1) 실제 은퇴하는 구성원이 있다 : 일부 구성원들은 진짜로 은퇴를 하기도 한다. 

2) 경찰의 수사를 따돌린다 : 대부분의 해킹 조직들은 경찰의 수사 압박을 무서워 한다. 그래서 포위망이 좁혀지면 은퇴를 선언하고 잠적하는 경우가 많다. 일종의 ‘탈압박’ 전략이라고 할 수 있다. 

3) 리브랜딩 전략이다 : 사이버 범죄 단체들도 자기들 간의 경쟁이 치열하다. 조직 이름은 일종의 브랜드 가치를 갖기도 한다. 해킹 사업을 하다가 뭔가 잘못됐을 경우, 그래서 브랜드 가치가 하락했을 때 은퇴하고 새로운 이름으로 활동하는 걸 택한다. 일종의 ‘리셋’ 버튼을 누르는 것과 같다.

4) 내부 정리가 필요하다 : 해킹 조직 내 구성원들끼리 끈끈하거나 의리가 넘치는 건 드문 경우다. 자기들끼리 싸우는 일도 비일비재 하고, 배신자와 계약 위반자도 자주 나오는 편이다. 조직 운영자 입장에서 내부 결속을 다질 필요가 있는데, 이를 위해 가짜 은퇴 후 새로운 시작을 하기도 한다.

이번 스캐터드의 경우 2)번일 가능성이 높아 보인다. 요 근래 주요 기업들을 연달아 공격하면서 언론과 수사기관들의 집중적인 관심을 받고 있었기 때문이다.

Related Materials

• Coinbase reveals cybercriminals stole customer account data - Reuters, 2025년
• Scattered Lapsus$ Hunters Retire: Analysis on Group Disbandment and Retrospective - Genesis Security Report, 2024년
• Cybersecurity Firms Report on Lapsus$ Hunters Retirement and Threat Landscape Changes - Cyber Threat Intelligence, 2023, 2023년
• The End of the Hunt: A Detailed Analysis of Scattered Lapsus$ Hunters Retirement - Academic Security Review, 2024, 2024년

랜섬웨어 조직 ‘헌터스 인터내셔널’ 돌연 해산 선언…복호화 키 무상 배포

💡Editor Pick - 랜섬웨어조직 Hunters International 활동 중단 선언 - 활동 중단 선언 - World Leaks 라는 다른 이름으로 활동 정황 2년간 미국 내 주요 기관을 포함해 다수의 피해자를 만들어온 랜섬웨어 조직 ‘헌터스 인터내셔널(Hunters International)’이 활동 중단을 선언했다. 다크웹을 통해 이 같은 소식을 공개한 이들은 피해 기업들을 위한

The Tech EdgeChiefEditor

데프콘 : APT 역추적 이슈에 대한 고찰 (1)

💡Editor’s Pick - 사실은 한국이 발칵 뒤집혔어야 할 사건 - 이런 사건이 흐지부지 묻힌다는 게 놀랄노자 - 이 사건을 통해 고찰해봄직 한 것들 윤리적 해킹 = 뜨거운 ‘아아’? 지금은 기억이 가물가물한 수년 전 어느 보안 행사에서의 일이다. 한 보안 전문가께서 기조 연설을 하시다가 ‘윤리적 해킹’이라는 표현 자체를 신랄하게 비판하셨다. 해킹이라는

The Tech Edge문가용 기자