보안 전문가가 아니라 랜섬웨어 공격자였네?

보안 전문가와 악의적 해커를 구분하는 경계선이 한 차례 침해되는 사건이 발생했다. 사이버 보안 전문가 두 명이 랜섬웨어 공격을 시도하다가 붙잡힌 것이다. 이들의 행각은 연방 법원에 제출된 기소장을 통해 공개됐다. 두 사이버 보안 전문가는 블랙캣(BlackCat) 랜섬웨어를 유포하기 위해 공모했다고 하며, 현재까지 피해자는 5개 기업으로 밝혀졌다. 피해 기업의 이름은 공개되지 않았다.

미국의 시카고선타임즈에 따르면 보안 기업 디지털민트(DigitalMint)와 사그니아사이버시큐리티서비스(Sygnia Cybersecurity Services)에 근무하는 자들이 문제를 일으킨 장본인들이라고 한다. 기소장에는 본명도 공개됐는데, 디지털민트 소속 케빈 타일러 마틴(Kevin Tyler Martin)과 스그니아 소속 라이언 클리포드 골드버그(Ryan Clifford Goldberg)다. 둘은 드론 제조사와 엔지니어링 회사, 의료 기관 등을 공략했던 것으로 알려져 있다.

두 사람이 랜섬웨어 유포 계획을 수립해 실행에 옮기기 시작한 것은 2023년 5월부터다. 당시 첫 희생자들의 컴퓨터에 블랙캣을 퍼트린 뒤, 보안 전문가 행세를 하며 복호화의 대가로 1천만 달러를 요구했다. 해당 기업은 이 돈을 낼 수 없었고, 협상을 통해(물론 피해자들은 이 두 보안 전문가를 통해 범인들과 협상한 것으로 알고 있다) 120만 달러를 지불했다고 한다. 쉬운 돈의 맛을 본 2인조는 2025년 4월까지 같은 짓을 반복했다. 이 과정에서 한 명의 조력자가 추가 참여한 것으로 보이는데, 이 인물에 대한 정보는 아직까지 공개되지 않았다. 

어떻게 랜섬웨어 공격을 할 수 있었을까?

두 보안 전문가 입장에서 랜섬웨어를 손에 넣는 건 매우 간단한 일이었다. FBI에 제출한 이들의 진술서에 따르면 둘은 다크웹에서 랜섬웨어 판매자와 접촉해 랜섬웨어를 구매했다고 한다. 블랙캣을 판매하는 자들은 원래부터 RaaS 형태로 사업을 하던 이들이다. 즉, 자신들이 만든 랜섬웨어를 돈 받고 대여하는 형태로 수익을 내던 자들이라는 뜻이다. 두 보안 전문가는 그들의 많은 고객 중 하나였을 뿐이다. 둘이 블랙캣을 사용해 얻은 수익은 개발자와 일정 비율로 나눴다.

외신에 따르면 골드버그는 범행을 적극 부인했다고 한다. 하지만 FBI의 조사가 이어지고, 증거들이 나오면서 결국 모든 걸 실토할 수밖에 없었다고. “빚을 갚기 위해 이런 일을 기획했다”고 그는 밝히며 “남은 인생을 감옥에서 보내게 됐다”고 한탄했다고 알려져 있다. 골드버그는 “실제 성공을 거둔 건 단 한 건”이라고 진술했는데, 이 내용의 진위여부는 아직 확실하게 발표되지 않았다.

마틴의 경우에도 적극 무죄를 주장했다고 기소장에 나와 있으나, 그 후 그가 자백을 했는지, 부인할 수 없는 증거가 나왔는지 등에 대한 언급은 없다. 따라서 아직 마틴은 무혐의를 계속해서 주장하는 중인 것으로 추정된다. 

이들이 소속돼 있는 기업인 디지털민트와 시그니아는 “회사는 전혀 모르는 일”이라고 선을 그었다. 둘이 “독자적으로 행동했을 뿐, 회사는 관여되어 있지 않다”며 “사건이 밝혀진 후 즉각 해고했다”고 주장했다. 아직까지는 둘이 범행에 회사 인프라나 시스템을 활용하지는 않은 것으로 보인다. 즉, 개인 장비를 가지고 벌인 짓으로 보인다는 것으로, 디지털민트와 시그니아의 고객들은 안심해도 된다는 게 현재까지 밝혀진 조사 결과다. 또한 두 회사는 “수사에 적극 협조하고 있다”고도 고지했다.

보안 전문가와 해커의 공통된 스킬셋

사이버 범죄로의 진입 장벽이 크게 낮아진 탓에 이제 누구나 원하기만 하면 해커처럼 활동할 수 있지만, 그 중에서도 사이버 보안 전문가들만큼 범죄에 쉽게 접근할 수 있는 계층도 없다. 둘이 가진 스킬셋이 유사하기 때문이다. 

보안 전문가와 해커가 가진 능력 중 핵심은 ‘컴퓨터 시스템의 구성 원리를 이해하고 조작할 수 있다’이다. 둘 다 취약점을 찾아내 분석할 수 있고, 둘 다 취약한 곳을 파고들어 침투할 수 있으며, 둘 다 리버스 엔지니어링과 악성코드 해독도 할 수 있다. 둘 다 자동화 스크립트를 만들 줄 알고, 둘 다 네트워크를 스캔해 전반적인 구조를 파악할 수 있다.

하지만 그 모든 스킬셋을 활용하게 하는 윤리관과 목적, 사고방식에서 큰 차이가 나타난다. 같은 취약점을 바라보고 있더라도 보안 전문가는 ‘해결’이라는 시선을 유지하고, 해커는 ‘침투’라는 목적을 품는다. 침투도 마찬가지고 리버스 엔지니어링이나 자동화 스크립트 제작에서도 같은 차이점이 나타난다. 같은 현상을, 같은 기술을 통해 이해하고 있어도, 어떤 마음을 유지하느냐가 양지와 음지를 가른다는 것이다. 

이는 보안 전문가들을 호시탐탐 노리는 유혹일 얼마나 가까이에 있으며, 얼마나 실제적인지를 드러낸다. 즉 생각과 철학이 잠깐 흔들리는 것만으로도 보안 전문가들은 그 누구보다 범죄의 유혹에 유독 크게 흔들릴 수 있다는 의미가 된다. 나랑 같은 기술을 가진 자가 갑자기 쉽게 큰 돈을 버는 걸 수차례 목격하다 보면 나도 모르게 마음 속에 유혹의 씨가 뿌리를 내릴 수 있다. 

보안 전문가도 보호의 대상

그렇기에 보안 전문가도 보호와 관리의 대상이 됨을 조직 차원에서 잊지 말아야 한다. ‘범죄 수익’만큼 큰 급여를 줄 수는 없겠지만, 최소한 부당한 대우를 받는다고 느끼지는 않게 해야 한다. 보안 담당자들이 제시하는 질문에 ‘빡빡하게 굴지 말라’고 대꾸하거나, 빠른 개발과 수익 창출이 안전 도모보다 높은 가치를 가진 것이 당연하다는 듯이 이야기 하는 것, 그리고 사고가 발생했을 때 모든 책임을 보안 담당자들에게 돌리는 것 등만 개선돼도 보안 담당자들은 유혹을 멀리 할 수 있다.

특히 CISO의 권한을 높여주는 것이 중요하다. 아직 많은 조직들에서 제대로 시행되고 있지 않고 있으며, 해외나 국내나 할 것 없이 CISO를 ‘사고 시 방패막 역할’ 혹은 ‘보안 점검 시 얼굴마담’ 정도로만 여기고 있어 보안 전문가들 사이에서 볼멘 소리가 나오는 걸 쉽게 접할 수 있다. CISO는 ‘평상시 방패막’과 ‘보안 점검 당사자’가 되어야 하고, 그러려면 제대로 목소리를 발휘할 수 있게 해줘야 한다.

보안 소프트웨어도 소프트웨어다. 그러므로 여느 소프트웨어처럼 취약점 점검과 패치 등의 관리가 필요하다. 세세한 권한 설정도 수반되어야 한다. 보안 담당자도 사람이다. 잦은 유혹에 노출되어도 끄떡없는 사람 없다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Ransomware Attacks in 2024: The Most Devastating Year – Rise of Insider Threats, Sygnia, 2024년
• December 2023: Biggest Cyber Attacks, Data Breaches – Insider and Security Expert Involvement, CM-Alliance, 2024년
• Ransomware Retrospective 2024: Insider-Driven Ransomware Surge Noted, Unit 42 Palo Alto Networks, 2024년
• Roundup: The Top Ransomware Stories of 2024—Insider Actors Target Large Enterprises, IBM, 2024년

랜섬웨어 그룹 메두사, 대형 통신사 컴캐스트 침해

💡Editor’s Pick - 랜섬웨어 메두사, 컴캐스트 침해 주장 - 컴캐스트는 아직 묵묵부답에 침묵 - 각종 금융 및 보험 관련 내부 정보 유출된 듯 악명 높은 랜섬웨어 그룹 메두사(Medusa)가 대형 통신 및 엔터테인먼트 기업인 컴캐스트(Comcast)를 공략하는 데 성공한 것으로 보인다. 메두사가 다크웹에 마련된 자신들의 사이트를 통해 주장한

The Tech Edge문가용 기자

랜섬웨어 발전사...이중 협박 넘어 사중 협박

💡Editor’s Pick - 이중 협박의 시대도 안 끝났는데 등장한 사중 협박 - 이중 협박 + 디도스 + 지인 괴롭히기 = 사중 협박 - 인공지능과 핵티비즘과의 결합도 눈에 띄어 랜섬웨어 공격자들 사이에서 이중 협박 전략이 유행한 것도 벌써 수년 째다. 아직도 유효하긴 하지만 새로울 것은 없다. 그런데 보안 업체 아카마이(Akamai)가 ‘사중 협박’

The Tech Edge문가용 기자