 |
블랙바스타는 한국을 노린 대표적인 랜섬웨어 조직이었던 만큼 이번 제재에 의미가 있다는 해석도 나온다. 다만 랜섬웨어 조직들이 활동을 중단하더라도 리브랜딩 후 다시 등장하는 사례가 늘고 있어 안심하기 이르다는 의견도 제기된다.
19일 보안업계에 따르면 우크라이나와 독일 사법당국은 최근 블랙바스타에 근무한 혐의를 받는 우크라이나인 2명을 확인했다. 블랙바스타 수장으로 알려진 35세 러시아 국적 올레그 예브게니예비치 네페도프는 유럽연합(EU) 수배자 명단과 인터폴 적색수배자 명단에 오르게 됐다.
우크라이나 사이버 경찰은 성명을 통해 "수사 결과에 따르면 용의자들은 보안 시스템에 대한 기술적 해킹을 전문으로 했고, 랜섬웨어를 이용한 사이버 공격을 준비하는 데 관여했다"고 밝혔다. 수사 당국은 피고인들이 특수 소프트웨어를 이용해 정보 시스템에서 비밀번호를 추출하는 일명 '해시 크래커'로 활동했다고 발표했다. 이들은 자격증명을 확보한 후 기업 네트워크에 침입해 랜섬웨어를 배포하고 암호화된 정보를 복구하는 대가로 금전을 갈취했다.
전형적인 랜섬웨어 공격 기법으로 위협을 가한 것이다. 수배자 소개에 따르면 블랙바스타는 이르면 2022년 초부터 활동한 랜섬웨어 조직으로 컴퓨터 시스템 감염, 데이터 탈취, 시스템 암호화에 특화된 곳이다. 수장인 네페도프는 독일 연방 공화국 내 100여개 기업과 세계 600여개 기업을 대상으로 갈취 행위를 저지른 것으로 알려졌다. 네페도프는 현재 러시아 연방에 거주하고 있는 것으로 추정되고 있다.
한국도 블랙바스타 공격에서 자유롭지 못했다. 안랩 시큐리티인텔리전스센터(ASEC)은 지난달 보고서를 통해 2023년을 기점으로 아시아 지역에서 랜섬웨어 공격이 급증했고 이 가운데 한국 기업들이 RA월드, 블랙캣, 아키라 등 범죄 조직으로부터 공격을 받았다고 진단했다. 2024년에는 블랙바스타를 비롯해 랜섬허브, 록빗, 스페이스베어스 등이 활약했다.
지난해에는 건라, 블랙슈란탁과 같은 신흥 범죄 조직이 주목을 받았지만 블랙바스타는 활동을 멈추지 않았다. 지난해 초에는 블랙바스타 1년 치 내부 채팅 기록이 온라인에 유출돼 운영 방식과 구조, 구성원, 관심 대상 조직에 초기 접근권한을 얻기 위한 보안 취약점이 드러났다. 당시 유출 문건에는 네페도프가 트럼프, GG, AA 등 가명을 사용하고 있다는 사실도 드러났다.
국내 위협인텔리전스(TI) 업계 관계자는 "이번 사건으로 블랙바스타는 사실상 해체된 것으로 보인다"면서 "최근 블랙바스타 활동이 잠잠하기도 했고 유출 데이터도 삭제된 상태"라고 말했다. 그러면서 "하지만 랜섬웨어 조직들이 활동을 중단했다가 이름을 바꾸고 다시 등장하는 사례가 늘고 있다"며 "과거 범죄 조직이었던 블랙바스타 구성원들이 다른 랜섬웨어 조직으로 옮기거나 신규 조직을 결성하더라도 놀랍지 않은 일"이라고 말했다.
랜섬웨어 조직은 수사와 제재를 회피하기 위해 새 이름으로 흔적을 숨기거나, 기존 제휴망과 결제 채널을 유지하면서 브랜드명을 갈아끼우는 전략을 쓰고 있다. 랜섬웨어 코드, 데이터 유출 사이트, 인프라 일부를 그대로 활용하면서 새 그룹처럼 포장하는 사례도 있다. 실제 트렌드마이크로 보고서는 과거 블랙바스타와 연계된 여러 조직들이 캑터스(CACTUS) 랜섬웨어 공격에 가담했을 가능성을 제기했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.