• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

지불 관련 인프라 파괴된 다크사이드, 지급 실패로 인민재판까지 걸려 2021.05.24

다크웹의 한 포럼에서 인민재판이 시작됐다. 주인공은 최근 송유관 랜섬웨어 사태를 일으켰던 다크사이드. 이들과 계약을 맺고 파트너로 활약했던 자들이 약속했던 대금을 지불받지 못해 일종의 소송을 건 것이다. ‘다크웹’ 사법 시스템이 발동되기 시작했다는 건 시장의 성숙도가 상당 수준이라는 걸 보여준다.

[보안뉴스 문가용 기자] 다크웹에서 인민재판이 벌어지고 있다. 재판의 주인공은 최근 랜섬웨어 공격으로 미국 송유관을 마비시켰던 공격 단체 다크사이드(DarkSide)다. 이들과 파트너십을 맺고 각종 공격을 실시했던 자들이 다크사이드로부터 약속한 대가를 받지 못했다고 주장하며 다크사이드가 활동하고 있는 포럼의 관리자들에게 상황을 해결해달라고 요청했기 때문이다.

[이미지 = utoimage]


현재 피해를 주장하는 자는 자신이 가진 증거물을 관리자들에게 전송하고 있으며, 사건 진행 상황을 포럼에 올리고 있다. 관리자들은 이러한 상황에 대한 답글과 진행 상황에 대한 정리 및 최신화 된 내용을 스레드 형태로 업로드 중이다. 참고로 이 관리자들은 다크사이드와 같은 범죄 단체들로부터 보증금을 받고 포럼을 운영하고 있는 자들로, 다크사이드의 보증금 100만 달러를 보유 중이라고 한다. 이 돈은 사건 중재에 사용한다고 관리자들은 밝혔다.

다크사이드는 서비스형 랜섬웨어(RaaS)를 주요 사업 아이템으로 삼았던 공격 단체로 여러 공격자들과 금전 관계를 맺고 있다. 이 때 심층 면접 등을 통해 같이 일할 사람을 조심스럽게 선택하고, 일종의 계약서를 작성하기도 한다. 그리고 한 쪽에서는 기술력과 도구를, 한 쪽에서는 실행력을 제공한다. 그렇게 번 돈을 서로 약속된 비율로 나눈다.

다크사이드의 지불 관련 인프라가 사법 기관의 수사로 차단되면서 약속이 지켜지지 않은 것으로 보인다. 게다가 다크사이드가 은퇴를 선언한 상태라 연락할 방법이 없어 파트너들은 포럼 관리자들에게 중재를 요청했다고 한다. 그래서 일종의 ‘인민재판’이 시작된 건데, 갈수록 다크사이드를 성토하는 사람들이 늘어나고 있는 상황이다.

포럼 관리자들의 중재가 얼마나 실질적인 효력을 발휘할지는 아직 미지수다. 하지만 이러한 재판 과정을 지켜보고 있는 보안 업체 헌트레스(Huntress)는 “범죄 산업이 어느 정도 수준에까지 성장했는지를 보여준다”고 해석한다.

다크웹은 원래 사업을 하기에 좋은 곳은 아니었다. 사기꾼들이 서로에게도 사기를 쳤기 때문이다. 그러나 이처럼 ‘중재’ 혹은 ‘재판’ 행위가 시작되고 있다는 건 그들 사이에 ‘지켜야 할 선’이 정해지고 있다는 뜻이며, 따라서 보다 성숙한 ‘사업화’가 이뤄지고 있다는 게 헌트레스의 설명이다. 이 선을 바탕으로 자신들 안의 소모적인 싸움과 논쟁이 어느 정도 수그러들면, 외부로 향한 칼날이 더 날카로워질 것으로 전망된다는 것.

보안 전문 매체 스레트포스트(ThreatPost)는 지하의 산업화가 대단한 규격을 갖추기 시작한 상황이라며 마케팅, 영업, 고객 서비스 등 정상적인 업체들이 하는 모든 것들을 범죄 산업체들도 하고 있다고 경고했다. 심지어 자기들끼리의 경쟁도 점점 심화되고 있어 이들의 공격은 상당한 수준으로 이어질 것으로 예상된다고 한다.

실제로 랜섬웨어 공격자들은 작년 한 해 ‘이중 협박’이라는 전략을 들고 나와 엄청난 성공을 기록했다. 단순 파일 암호화를 통한 협박이 잘 이뤄지지 않자, 파일을 유출해 세상에 공개하는 전략도 같이 활용하기 시작한 것이다. 많은 조직들이 파일 암호화보다 이 ‘민감 정보 공개’를 더 두려워하고 있으며, 따라서 랜섬웨어 산업은 큰 부흥을 일궈냈다.

거기에 더해 공격자들은 피해자의 파트너사와 고객들에게 직접 연락을 취하거나 디도스 공격을 결합시키는 ‘삼중 협박’도 실시하기 시작했다. 공격을 위한 공격자들의 전략이 규격화 된 시장의 힘을 바탕으로 더 예리하고 정교해질 것으로 보인다.

3줄 요약
1. 다크사이드, 현재 다크웹에서 인민 재판 당하고 있음.
2. 고객들에게 돈을 제대로 지불하지 않았기 때문인 것으로 보임.
3. 포럼 관리자들이 다크사이드 예치금을 가지고 현재 중재를 실시하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>