FSB의 용병이었던 카림 바라토프에 징역형과 벌금형 내려져
카림 변호사는 “시키는 일만 했을 뿐”...법원은 “몰랐다고 보기 힘들다”

[보안뉴스 문가용 기자] 최근 발생한 컴퓨터 해킹 사건들 중 가장 시끄럽고 충격적이었던 10억 개 야후 크리덴셜 침해 사고에 대한 최종 판결이 나왔다. 범인이었던 카림 바라토프(Karim Baratov)에 5년 징역형과 그의 전 재산에 해당하는 벌금형이 내려진 것. 카자흐스탄 출신 캐나다인인 바라토프는 이 사건에서 주도적인 역할을 담당했다는 것으로 알려져 있다.


카림 바라토프는 여러 이름으로 사이버 범죄 활동을 벌여왔다. 케이(Kay), 카림 탈로베로프(Karim Taloverov), 카림 아케멧 톡베르게노프(Karim Akehmet Tokbergenov) 등인데, 야후 데이터 침해 사고와 관련하여 총 9개 혐의에 대해 유죄 판결을 받았다. 야후 외에도 최소 80개의 웹 메일 계정들을 대리 침해 시도했고, 2010년부터 2017년 3월까지 1만 1천 개가 넘는 메일 계정들을 해킹했음을 인정했다.

바라토프는 야후 침해 사고를 일으킨 단독범이 아니다. 현재까지 이 건과 관련하여 총 네 명이 연루되어 있는 것으로 알려져 있다. 바라토프 외 세 명인 드미트리 알렉산드로비치 도쿠차에프(Dmitry Aleksandrovich Dokuchaev), 이고르 아나톨예비치 수시친(Igor Anatolyevich Sushchin), 알렉세이 알렉세이비치 벨란(Alexsey Alexseyvich Belan)으로, 러시아 시민권 보유자이며, 그 중 두 명은 러시아의 연방보안국(FSB) 소속이라고 한다. 이중 벨란은 FBI의 수배 명단에도 오른 자다. 전부 러시아에 거주 중이라 체포가 이뤄지지 않았다.

한편 사법부는 판결문을 통해 “사건의 죄질이 매우 심각하다고 판단했으며, 사실상 국가를 겨냥한 사이버전에 준하는 행위라고 볼 수밖에 없었다”고 밝혔다. 또한 바라토프를 “고용된 해커”라고 지칭하며 “FSB의 공격 행위를 지원하는 역할을 담당했다”고 설명했다. “바라토프는 대량의 크리덴셜을 탈취함으로써 이후에 있을 추가 공격을 위한 자원을 확보했습니다.”

판결이 내려지기 전 바라토프의 변호사는 “바라토프가 일개 용병이었기 때문에 주어진 임무를 완수해낼 수밖에 없었고, 따라서 사건에 대한 책임을 전부 질 위치에 있지 않다”고 주장했다. 또한 그가 FSB를 위해 일하고 있다는 사실도 모르고 있었다고 한다. “바라토프는 그 누구든 조건만 맞으면 해킹을 해주는 자이지, 국가 간 전쟁에 연루되어 있지 않습니다.”

바라토프는 애인이나 배우자의 온라인 행동들을 궁금해 하는 사람들의 의뢰를 받아 뒤를 캐는 일을 주로 해왔다고 한다. 1인 ‘온라인 흥신소’였던 것인데, 미국 사법부의 판사들은 “FSB가 크리덴셜 80개 세트를 그에게 요구했다”며 “그가 아무 것도 모르고 무작정 일을 했다고 믿기 힘들다”고 반박했다.

한편 이번에 바라토프에 내려진 형량은 법적 최대치라고 볼 수 없다. 미국 정부는 “사이버전 행위”라며 보다 무거운 처벌을 원했으나, 법원은 일반 사이버 범죄와 사이버전 공격 사이에 있는 행위라고 판단한 듯 하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>