올해 와해된 유명 랜섬웨어 단체 하이브는 RaaS 산업의 전형적은 플레이어였다. 이 때문에 하이브를 추적하고 공략하며 우리는 어렴풋이 알고 있던 것들을 보다 분명히 이해하게 됐다.

[보안뉴스 문정후 기자] 올해 초 사법 기관은 하이브(Hive)라는 이름의 사이버 범죄 단체의 공격 인프라를 와해시킨 바 있다. 하이브는 랜섬웨어를 다른 사이버 범죄 단체에 대여하는 방식으로 수익을 내던 단체였다. 이른 바 RaaS(ransomware-as-a-service)라고 하는 부류였던 것이다. 하이브는 콘티(Conti)라는 또 다른 악명 높은 랜섬웨어 단체와도 관련이 깊은 것으로 알려져 있었는데, 콘티 역시 여러 랜섬웨어 단체들과 인연을 맺고 있었고, 이 단체들도 또 다른 단체들과 이런 저런 형태로 엮여 있었다. 때문에 하이브 와해 작전을 통해 우리는 RaaS 생태계에 대해 생각보다 많은 것을 알게 됐다.


먼저 하이브는 다른 RaaS 단체들과 마찬가지로 랜섬웨어 인크립터를 직접 만들고, 다크웹 도메인을 생성하고, 자신들의 서비스를 여러 해킹 포럼들에 광고하는 등의 활동을 했다. 하이브의 랜섬웨어를 활용해 범죄 활동을 하고 싶다면 하이브가 만든 인크립터의 라이선스를 구매한 후, 페이로드를 상황과 환경에 맞게 설정하여 공격을 실시한 후 피해자로부터 받은 돈을 나누어야 했다. RaaS 사업자들은 전부 이런 방식으로 구매자들과 관계를 맺고 수익을 내는데, 75/25나 80/20의 비율로 나누는 게 보통이다. 하이브의 경우 80/20의 비율을 유지했다.

암호화폐와 RaaS 사업
이러한 사업 모델이 성공할 수 있었던 건 비단 랜섬웨어 페이로드의 강력함이나 사업 모델의 교묘함 때문만은 아니다. 여기에 더해 암호화폐라는 도구 역시 큰 몫을 담당하고 있다. 암호화폐는 거래가 거의 즉각, 실시간에 가깝게 이뤄지고 국경을 자유롭게 넘나들며 거래자의 익명성이 꽤나 강력하게 보장된다는 특성을 가지고 있다. 중간에 은행 등 공공성을 띈 기관들을 거칠 필요도 없다. 사이버 범죄자들에게는 필수적인 요소들만 골라서 갖춘 것만 같다.

암호화폐가 없었다면 랜섬웨어와 같은 사업 행위가 지금처럼 쉽게 성공하기 힘들었을 것이라고 전문가들은 보고 있다. 불법 행위를 현금화 하는 데 있어 암호화폐만큼 간단한 방법을 제공하는 수단은 찾기 힘들다. 단점이 없는 건 아니지만 범죄자들에게 있어서는 장점이 워낙 강력하여 단점을 상회하고도 남는다. 랜섬웨어 운영자들은 비트코인의 가격이 오르락내리락 하는 걸 잘 이해하고 있어 피해자들에게 돈을 요구할 때 ‘달러’ 등 기존 통화 단위를 기준으로 삼는다. 그리고 그것을 시세에 맞게 암호화폐로 환산해 요구하는 식이다.

위에서 암호화폐 거래자의 익명성이 ‘꽤나’ 강력하게 보장된다고 했다. ‘꽤나’이지, 100%는 아니다. 암호화폐를 추적하는 것도 얼마든지 가능하다. 그러나 쉽지 않기 때문에 정부의 의지가 어느 정도는 필요하다. 공격자들은 이 점을 잘 알고 있다. 그래서 이들은 ‘우리나라를 공격하는 게 아니면 사이버 범죄 행위나 암호화폐 불법 거래나 크게 신경 쓰지 않는’ 국가나 지역을 기반으로 활동하는 편이다. 그래서 대다수 랜섬웨어 운영자들은 러시아나 동유럽 국가들에서 활동한다. 그리고 랜섬웨어 페이로드에 지역 탐지 기능을 넣어서 러시아나 동유럽 국가에서는 발동되지 않도록 한다.

정부들이 수사에 가세
러시아나 동유럽 국가에서 암호화폐 뒤에 숨어서 사업을 확장시키기만 하면 됐을 하이브는 그렇다면 왜 와해됐을까? 하이브 그룹의 서버 인프라 중 일부가 미국에 있었기 때문에 가능한 일이었다. 또한 여러 나라의 사법 기관들이 이른 바 국제 공조를 진행한 것도 중요하게 작용했다. 레빌(REvil)과 다크사이드(DarkSide)와 같은 유명 랜섬웨어 조직들도 국제 공조 앞에 사라졌다. 세계 각국의 정부들은 이런 경험을 차근차근 쌓고 있고, 그러면서 같이 움직일 때 그 해결하기 어려워 보였던 사이버 범죄 조직의 와해도 가능하다는 것을 깨닫고 있다. 사건이 일어나고서 수습만 하는 식으로는 범죄를 막을 수 없다는 것을 알아가는 중이다.

다만 공조를 한다고 해서 무조건 성공하는 건 아니다. 공격자들도 전략과 전술의 다양화를 꾀하기 때문에 포착과 추적, 실질적인 검거와 공격 인프라 와해로까지 이어지는 건 까다로우며 시간도 많이 걸린다. 한 RaaS 그룹 안에서도 여러 가지 전략이 사용되고, 이런 RaaS 그룹이 수없이 많기 때문에 방어도 어렵고 체포도 어렵다.

그렇기 때문에 방어하는 입장에서는 전반적인 보안 강화를 꾀해야지 랜섬웨어만을 위한 특별한 방어 전략을 세운다는 건 의미가 없다. 랜섬웨어 전담 방어법이라는 건 존재하지 않는다. 하이브와 파트너십을 맺었던 여러 공격자들의 경우 RDP를 침해하기도 하고, 크리덴셜을 탈취하기도 하고, 피싱 공격을 하기도 하고, 소프트웨어 취약점을 익스플로잇 하기도 했다. 그러니 랜섬웨어를 막으려면 거의 모든 사이버 공격 전략에 대비해야 한다. 하이브를 추적하면서 확인된 가장 중요한 사실이 바로 이것이다.

참고로 클롭(Cl0p)이라는 유명 랜섬웨어 단체의 경우 기업들이 자주 사용하는 소프트웨어의 취약점을 공략하는 것으로도 유명하다. 즉 소프트웨어 공급망 공격을 실시하여 랜섬웨어 페이로드를 유포하는 것이다. 공격자들은 하루가 멀다하고 다변화 되고 있고, 여러 가지 전략을 빠르게 흡수한다. 한 번 효과가 입증된 공격법은 빠르게 전파되고, 공격자들은 모방을 하는 데 있어 전혀 거리낌이 없다.

그러면서 랜섬웨어는 ‘한 가지 공격 유형’에서부터 점점 발전해 ‘사이버 공격의 종합판’이 되었다. 보안 업계가 랜섬웨어를 자꾸만 강조하는 이유가 바로 여기에 있다. 랜섬웨어를 막는 데에는 왕도가 없다. 예전부터 강조되어 왔던 기본 실천 사항들을 지키고, 심층 방어 아키텍처를 끊임없이 구성하고 유지해야 한다. 그렇다고 이런 저런 솔루션들을 다 구매하라는 건 아니다. 예산이 허락하는 선에서 가장 중요한 것부터 구매하는 게 중요하다. 필자는 피싱 및 이메일 보안 솔루션부터 구매하는 걸 추천한다.

글 : 라이언 에스테스(Ryan Estes), 분석가, WatchGuard Technologies
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>