최근 가장 기세 좋게 활동하고 있던 레빌 랜섬웨어 운영자들이 갑자기 사라졌다. 사이트도 전부 닫혔고, 운영자들의 포럼 활동도 없는 상태다. 무슨 일일까? 아무런 발표나 힌트도 없는 가운데 추측이 난무하다.

[보안뉴스 문가용 기자] 최근 악명을 떨치고 있는 랜섬웨어 단체인 레빌(REvil)의 온라인 사이트들이 일제히 사라졌다. 바이든과 푸틴이 랜섬웨어 단체를 체포하는 데 상호 협력하기로 결정한 직후에 벌어진 일이다. 과연 이들은 체포된 것일까? 아니면 스스로 피해 잠적한 것일까?명확한 이유는 아직 아무도 모른다.


레빌은 최근 JBS 푸드(JBS Foods)라는 대형 식품 가공 업체와 카세야(Kaseya)라는 IT 솔루션 업체를 공격하면서 현존하는 최악의 랜섬웨어 조직으로 굳건히 자리를 잡았다. 이 때문에 미국 바이든 대통령이 푸틴 러시아 대통령에게 전화를 걸어 정보를 줄 테니 랜섬웨어 조직들을 잡아들여달라고 요청하기도 했을 정도다.

그러더니 미국 현지 시각으로 약 새벽 1시, 레빌의 사이트들이 접속 불가 상태가 되기 시작했다. 미국이나 러시아가 이들과 관련이 있는 서버들을 찾아내 셧다운 시켰을 가능성이 제기됐다. 두 나라의 수장이 통화를 마친 지 얼마 되지 않은 시점이었으니 누구라도 그렇게 생각했을 것이다. 그러나 그 어느 곳의 사법기관이나 경찰 요원들도 레빌 랜섬웨어 체포 작전에 대해 언급하지 않았다. 어쩌면 경찰의 포위망이 좁아짐을 느끼고 레빌이 먼저 사라진 것일 수도 있다.

보안 외신인 스레트포스트(ThreatPost)는 보안 업체 브리치퀘스트(BreachQuest)의 CTO인 제이크 윌리엄즈(Jake Williams)의 말을 인용해 “콜로니얼 파이프라인(Colonial Pipeline)이 다운된 순간부터 랜섬웨어 공격자들은 누구라도 할 것 없이 시한부 인생이 된 것이나 다름이 없었다”고 보도했다. 올 것이 온 것이라는 뜻이다. 물론 콜로니얼 파이프라인 사태를 일으킨 건 다크사이드(DarkSide)라는 랜섬웨어 단체였다.

그가 이렇게 말하는 건 “바이든이 직접 전화를 걸어 러시아 정부에 체포를 요청할 정도면, 러시아 정부가 묵인할 수 없는 단계에 이른 것이기 때문”이다. 러시아 정부가 랜섬웨어 공격자들의 뒤를 봐주는 것이든, 눈감고 모른 채 하던 것이든, 아니면 정말로 잡을 능력이 없었던 것이든, 랜섬웨어 활동이 러시아 정부에 직접적인 영향을 주지 않아야 한다는 전제 조건이 지켜져야 하는데 이 부분이 틀어졌다는 의미다.

포브스도 직접 다크웹에서 운영되고 있던 레빌의 여러 웹사이트를 계속해서 접속하려 했지만 실패했다고 보도하며 “레빌의 해피 블로그(Happy Blog)와 지불 관련 사이트 등 모든 페이지들이 닫혀 있음을 알 수 있었다”고 밝혔다. 심지어 요 며칠 사이 해킹 포럼에서 레빌 운영자들이 계속해서 침묵했다는 것도 알렸다. 포브스 역시 사법 기관의 활동을 염두에 두고 여러 기관에 질문을 보냈지만 답변이 온 곳이 없었다고 한다.

블리핑컴퓨터는 토르 프로젝트의 알 스미스(Al Smith)의 말을 인용해 “Onionsite Not Found” 오류(현재 레빌 갱단의 사이트를 접속하려 할 때 뜨는 메시지)가 뜻하는 바가 “해당 페이지가 오프라인이 되었거나 비활성화 되었다는 것”이라고 설명한다. 알 스미스는 블리핑컴퓨터와의 인터뷰를 통해 “그 이유는 해당 페이지의 관리자와 직접 연락해 봐야 알 수 있다”고 말했다.

CNBC는 맨디언트(Mandiant)의 보안 전문가인 존 헐트퀴스트(John Hultquist)의 말을 빌려 “누군가 체계적으로 이들을 공격한 것으로 보인다”는 가능성을 제기하기도 했다. 다만 헐트퀴스트도 배후 세력에 대해서는 알 수 없다고 말했다. 라이벌 관계에 있는 해킹 단체일수도 있고, 사법 기관일 수도 있다는 게 그의 추측이다. 레빌의 공격 인프라는 다른 공격 단체의 인프라보다 안정적인 것으로 잘 알려져 있었기 때문에 이렇게 동시에 사라진다는 게 누군가의 계획 없이 이뤄질 수 없다는 것이다.

의외로 서버 유지 관리 단계에서의 실수나 업그레이드 오류로 잠깐 정전 사태가 발생했을 수도 있다. 하지만 이는 레빌 운영자들이 며칠 동안 포럼 활동을 전혀 하고 있지 않은 것을 제대로 설명하지는 못한다. 물론 일부 러시아 해킹 포럼에서는 랜섬웨어 관련 이야기를 엄중이 금하고 있기 때문에 레빌 운영자들의 말 수가 줄어들었을 가능성 역시 배제할 수 없다.

여러 가지 추측들이 나오고 있긴 하지만 모두의 마음 속에 ‘레빌, 제발 다시는 나타나지 마라’라는 소원이 있는 건 분명하다.

3줄 요약
1. 레빌 랜섬웨어 공격자들의 사이트들, 일제히 사라짐.
2. 러시아와 미국의 대통령이 협력하기로 약속한 직후의 일. 설마?
3. 단순 정전일수도 있고, 경찰의 움직임이 심상치 않자 알아서 도망친 것을 수도 있고.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>