러시아가 우크라이나를 침공하면서 사이버 공간이 크게 흔들리기 시작했다. 여러 조직들이 깨지고 사이버 범죄 활동이 마비되고 범죄자들의 시장이 축소됐다. 그러면서 범죄 시장의 무게 중심이 다른 곳으로 옮겨지기 시작했다.

[보안뉴스 문가용 기자] 러시아와 우크라이나의 전쟁이 사이버 공간에 미친 영향이 지대하다. 최근 보안 업체 레코디드퓨처(Recorded Future)는 러시아 침공 1주년을 맞아 러-우 전쟁이 미친 영향에 대하여 상세하게 기술한 보고서를 발표하며 “어제의 친구가 오늘의 적이 됐고, 사이버 범죄 시장의 지형이 바뀌었으며, 힘의 재분배가 이뤄졌다”고 정리했다.


사이버 범죄자들이 이동 중이다
인터넷의 가장 큰 특징 중 하나는 경계를 허문다는 것이다. 수천 마일 바깥에 있는 사람이라도 바로 옆에 있는 듯 대화하고 각종 정보를 주고받을 수 있게 해 주는 것도 인터넷이다. 우크라이나 거주자나 NATO 동맹국 단체나 러시아의 해커들을 막을 수 없었던 것도 바로 이 인터넷의 고유한 특성 때문이다. 그렇기 때문에 우리는 사이버 공간에서 벌어진 변화를 물리 공간에서 벌어진 일과 잘 연결 짓지 않는다. 하지만 이번 전쟁을 통해 우리는 물리 공간과 사이버 공간의 밀접한 관계에 대해 새삼 깨닫게 되었다.

먼저 우크라이나 국민들 중 수많은 사람들이 전쟁으로 인해 대규모로 이동해야 했고, 이는 우크라이나의 해킹 단체들에도 영향을 미친 것으로 보인다. “우크라이나를 기반으로 활동했던 해커들 중 일부가 위험 지역을 탈출하면서 일부 사이버 조직의 범죄 행위들이 중단되거나 마비되는 일이 있었습니다. 러시아 해커들 중 다수가 우크라이나에서 기반을 잡고 활동하기도 했었으므로, 러시아 해킹 조직들도 영향을 받았습니다. 러시아가 군을 징집한다고 해서 많은 이들이 탈출했을 때에도 비슷한 일이 있었을 거라고 봅니다.” 레코디드퓨처의 위협 첩보 분석가인 알렉스 레슬리(Alex Leslie)의 설명이다.

대표적인 사례는 마크 소콜로브스키(Mark Sokolovsky)라는 인물이다. 라쿤 스틸러(Raccoon Stealer)라는 정보 탈취 멀웨어의 개발자로, 징집을 피하기 위해 우크라이나를 탈출한 것으로 알려져 있다. “그러면서 라쿤 스틸러의 활동이 뜸해졌죠. 물론 이것은 하나의 사례일 뿐이지만 전쟁 초기에 라쿤 스틸러처럼 갑자기 뭔가 느려지거나 뜸해진 사례들이 여럿 있습니다. 러시아나 우크라이나, 심지어 벨라루스에서 거주지나 활동 지역을 옮긴 해커들이 꽤 되는 것처럼 보입니다.”

해커들만 위험 지역을 빠져나간 건 아니다. 여러 IT 전문가와 기술자들도 멀리 도망쳤다. 레코디드 퓨처에 의하면 “러시아에서는 인재의 대규모 유출이 이뤄졌다”며 “IT와 보안 분야의 전문가들이 러시아를 떠나 조지아, 카자흐스탄, 핀란드, 에스토니아 등으로 이주했다”고 설명한다. “나라를 움직여야 할 두뇌들을 잃은 것이죠. 게다가 러시아가 은밀히 운영했던 해커들 역시 전쟁터로 끌려나가면서 러시아는 사이버전 능력도 상당히 손실했습니다.”

레코디드 퓨처는 전쟁이 발발하고 대규모 징집이 일어나면서 많은 사람들이 국경을 넘음과 동시에 러시아어로 구성된 사이버 범죄 포럼의 활동량이 크게 감소했다고 설명한다. “러시아의 범죄 포럼, 시장, 소셜미디어 플랫폼 내 범죄 채널들의 활동량이 대폭 줄었습니다. 줄어든 시기는 전쟁이 터진 직후, 징집이 발표된 직후, 징집이 시행되기 시작한 직후입니다. 우크라이나로 강제로 끌려 간 젊은 청년들 중 적잖은 수가 사이버 범죄 행위를 저지르고 있었다는 뜻으로 해석하고 있습니다.”

자기들끼리 싸우는 사이버 범죄 단체들
사이버 공간에서 활동하는 사이버 범죄자들은 출신이 다양하다. 하지만 러시아와 동유럽 국가 출신들이 가장 많다. 지난 수십 년 동안 벌어졌던 화려한 사이버 보안 사고들의 배후에는 대부분 러시아와 동유럽의 해커들이 존재한다. 러시아가 우크라이나를 이따금씩 공격하기도 했지만 그건 정부 차원에서 벌어진 일이고, 민간 차원에서는 러시아와 우크라이나 해커들끼리 매우 돈독한 것이 보통이었다. 러시아와 우크라이나인들로 구성된 범죄 조직들을 찾는 건 그리 어려운 일이 아니었다.

하지만 2022년 2월 24일부로 이 관계는 완전히 깨졌다. 러시아가 우크라이나를 침공하면서 한솥밥 먹던 해커들은 각자의 나라에 따라 갈라졌다. 가장 유명한 사례는 콘티(Conti)다. 이들은 랜섬웨어를 주로 사용하던 공격 단체인데, 러시아가 전쟁을 시작하자마자 푸틴 정권을 지지한다고 발표했다. 하지만 콘티에는 우크라이나인들도 제법 섞여 있었다. 콘티가 러시아를 지지한다고 하자마자 콘티의 내부 정보들이 공개되기 시작했다. 랜섬웨어의 소스코드도 새나갔고, 콘티 내부인들의 대화 내용도 일부 유출됐다. 러시아에서 가장 강력했던 랜섬웨어 조직은 하루아침에 분열됐다.

콘티 외에도 적지 않은 사이버 범죄 조직들이 분열됐다고 레코디드퓨처는 보고서를 통해 설명한다. “정치적 견해가 갈리면서 스스로 와해된 조직들이 꽤 많습니다. 러시아와 우크라이나 등 동유럽에 근거지를 두고 있던 해커들은 같은 러시아어를 구사하고 러시아 문화를 공유한다는 이유로 형제애 같은 것을 가지고 있었고, 그렇기에 잘 뭉쳤던 건데 이번 사태로 완전히 다른 입장이 됐죠. 동유럽 해커 조직들 사이에서는 분열이 꽤 만연했습니다.”

레슬리는 이 덕분에 러시아어를 기반으로 했던 다크웹 내 시장들이 크게 타격을 입고 있다고 설명을 추가한다. “시장 규모가 작아졌습니다. 시장 내에서도 서로 신뢰가 깨지고 관계에 금이 가니 버틸 수가 없게 된 것이죠. 게다가 최대 규모의 사이버 범죄 포럼인 하이드라(Hydra)가 사라지면서 중심이 되어 줄 버팀목까지 사라졌어요.” 그래서 레슬리는 “사이버 범죄의 중심지가 동유럽권에서 영어권으로 옮겨갈 것이라고 예측한다”고 말한다. “서서히 무게 중심이 영어권 다크웹으로 옮겨질 것이라고 봅니다.”

3줄 요약
1. 러시아와 우크라이나의 전쟁 때문에 뒤흔들려 버린 사이버 범죄 시장.
2. 물리적인 공간 이동 덕분에 사이버 범죄 조직들의 활동에도 제약이 생김.
3. 정치적 이념과 갈등 때문에 범죄 조직과 시장이 와해됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>