러시아에서 활동해온 20년 범죄 베테랑 표트르 레바쇼프
러시아 지하에서는 사이버전과 사이버 범죄의 구분이 거의 없어

[보안뉴스 문가용 기자] 악명 높은 스패머이자 켈리호스(Kelihos) 봇넷 운영자인 표트르 레바쇼프(Pyotr Levashov)가 바르셀로나에서 휴가를 즐기다가 체포되었다. 레바쇼프는 러시아인으로, 미국 사법부가 스패밍 활동과 로그인 크리덴셜 도난 및 랜섬웨어 공격에 활용되는 켈리호스 봇넷을 셧다운시키는 과정에서 스페인 경찰과 공조하게 됨으로써 수사망에 걸려든 것이다. 미국 사법부는 켈리호스와 연관성이 있는 도메인일 4월 8일부터 차단하기 시작했다.

“하루에도 수없이 많은 미국 시민들의 이메일을 스팸으로 꽉꽉 채워 넣고, 각종 온라인 크리덴셜 및 금융 관련 계좌 로그인 정보를 훔쳐내면서 랜섬웨어까지 살포하던 켈리호스를 셧다운시키려는 작전을 사법부는 국제적인 공조 하에 진행해왔습니다.” 검사인 케네스 블랑코(Kenneth Blanco)의 설명이다.

레바쇼프의 체포 소식은 러시아 지하 시장에서 큰 충격을 전달하고 있다고 한다. 워낙에 사이버 범죄자들 사이에서 거물이었기 때문이다. 보안 전문업체인 플래시포인트(Flashpoint)의 연구총괄인 비탈리 크레메즈(Vitali Kremez)는 “이미 사이버 암시장에서는 범죄 작전을 좀 더 탄탄하고 안전하게 운영하고자 하는 움직임이 있다”고 전달하며, “레바쇼프는 피터 세베라(Peter Severa)라는 이름으로도 알려져 있다”고 설명했다. 레바쇼프와 세베라는 둘 다(동일인물이지만) 스팸하우스(Spamhaus)가 선정한 세계 최악의 스패머 10인에 들어갔다.

크레메즈는 “레바쇼프를 꽤나 긴 시간 동안 추적했다”며 “아마 러시아에서 활동한 다양한 사이버 해커 중에서도 가장 두각을 나타낸 인물이 아닐까 싶다”고 소개했다. 또한 이번 사건의 한 관계자는 익명으로 “기소문이 곧 공개될 것”이라고 귀띔을 하기도 했다.

레바쇼프는 봇넷으로 스패밍 활동만 한 것이 아닌 것으로 추정되고 있다. 각종 클릭사기와 디도스 공격에도 그가 개입되어 있다는 의혹을 받고 있으며, 각종 지하 사이버 공격자들에게 자신의 스팸 봇넷을 대여한 것으로도 알려져 있다. “지하 시장에서 벌써 20년이나 활동해온 베테랑 범죄자입니다.” 심지어 지난 미국 대선의 러시아 해킹과도 관련이 있다는 분석도 있다.

레바쇼프가 기소된 건 이미 2009년의 일이다. 당시는 스톰(Storm)이라는 봇넷을 운영하고 있었는데, 러시아는 레바쇼프를 미국으로 이송하지 않았다. 스톰 봇넷은 켈리호스가 등장하기 이전 세계 최대의 스팸 봇넷이었다.

플래시포인트의 크레메즈는 “레바쇼프가 러시아 정부와 연관성이 없을 수 없다”고 주장한다. “전부터 레바쇼프는 친러 단체를 돕기 위해 각종 스팸 캠페인을 벌여왔습니다. 스팸을 통해 공격 대상자의 이메일 필터링 기능을 마비시키거나 피해자의 눈을 속이는 것이죠. 레바쇼프가 그렇게 하면, 실제 공격자들이 정보를 빼오거나 하는 등 실제 공격을 실행한 것으로 보입니다.”

레바쇼프는 특히 사이버베르쿠트(CyberBerkut)라는 해킹 단체와 사이가 좋은 것으로 보인다. 사이버베르쿠트는 우크라이나를 적대시하고 친 러시아 정부 성향을 가지나 ‘사이버 전사’를 모집해 디도스 공격을 감행한 전적이 있는 단체다. 또한 러시아 정부를 위해 일반 시민 감시나 정보 탈취를 하는 것으로도 알려져 있다.

“이런 주변 정황을 봤을 때 레바쇼프가 미국 대선 시 발생한 해킹에 참여했을 가능성이 높습니다.” 게다가 레바쇼프는 지난 2012년 러시아 시민들에게 정치적인 메시지를 담은 스팸 메일을 대량으로 발송하기도 했다. 당시 러시아의 대선이 진행되고 있던 기간이었고, 레바쇼프는 푸틴 당시 후보자의 상대인 미하일 프로호로프(Mikhail Prokhorov)에 대한 비방을 스팸 메일에 포함시켰다고 한다.

보안 전문업체인 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협첩보 책임자인 존 밤베넥(John Bambenek)은 “러시아의 해커들은 사이버 범죄와 사이버전의 경계를 자유롭게 오간다”며 “레바쇼프만한 인물이 사이버 범죄에만 집중했다고 보는 게 오히려 부자연스럽다”고 주장한다. 하지만 “최근 미국 대선의 러시아 해킹에도 레바쇼프가 개입했다고 볼 만한 증거가 하나도 없다”며 “레바쇼프를 당시 민주당 해킹과 엮기는 지나치게 성급한 감이 있다”고 말하기도 했다.

좋은 소식이 있다면, 켈리호스의 셧다운으로 인해 스팸 메일이 얼마간 줄어들 것이라는 점이다. “단기간 동안이긴 할 테지만 아무튼 스팸 메일이 줄어들 것으로 기대합니다.” 크레메즈의 설명이다. 이는 다시 말해 켈리호스가 언젠가 부활할 가능성이 높게 점쳐지고 있다는 것이다. 확실히 국제 공조로 인한 해킹 범죄자들의 체포는 단발적인 효과만을 거둬들인 것이 사실이다. 누군가 새로운 봇넷을 들고 나오거나, 파악하지 못한 두세 번째 운영자가 등장하는 것이 보통이다.

“그렇지만 범죄자들을 단기적으로 움츠러들게 하는 효과는 있습니다. 이 시기에 눈에 띄지 않으려고 활동을 잠시 접기도 하지요.” 게다가 레바쇼프라면 사이버 범죄자들 사이에서는 거물 중 거물로 통한다. 거물다운 자신감이었는지 러시아 영토를 벗어나 미국과 공조가 가능한 스페인에서 휴가를 즐기려다가 체포를 당했기 때문에, 장기적으로 범죄자들의 물리적인 활동 범위를 좁히는 효과도 충분히 있을 수 있다고 밤베넥은 말한다.

“레바쇼프는 1999년부터 드러내놓고 활동하던 대범한 인물이었습니다. 그가 그렇게 대범할 수 있었던 건 러시아 정부의 보호가 있었기 때문이지요. 보호까지는 아니더라도, 방치는 하고 있었던 게 분명합니다. 이제 그와 비슷한 사이버 범죄 활동을 하려면 러시아 영토 내에서만 자유로울 수 있다는 게 범죄자들 사이에서 퍼져나갔을 겁니다. 스페인에도 못 간다는 두려움은 사기저하를 불러올 것으로 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>