컨텐츠 바로가기

03.29 (금)

[글로벌What] 전력·통신망 공격, 코인으로 몸값 챙기는 '비즈니스형 해커'

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

■美 송유관·日 도시바 공격한 다크사이드

작년 동유럽서 급부상한 조직

서비스형 랜섬웨어로 사업화

"수익만 추구한다" 밝혔지만

산업기반시설 등 사이버 테러

인플레 압박 등 세계에 충격파

서울경제

<이미지를 클릭하시면 크게 보실 수 있습니다>



“(세계 경제가) 가장 주목해야 할 위협은 사이버 공격입니다.”

제롬 파월 미국 연방준비제도(Fed·연준) 의장은 지난 4월 미 CBS방송과의 인터뷰 당시 이렇게 말했다. ‘최근 자산 거품으로 금융위기 같은 시스템 붕괴가 올 수 있는가’라는 질문에 다소 엉뚱한 답을 내놓은 것이다. 복잡한 파생상품이나 헤지펀드의 탐욕이 아닌 ‘해킹’이 세계 경제를 복합 위기로 몰아넣는 ‘방아쇠’가 될 수 있다는 경고였다.

그의 발언은 한 달도 되지 않아 현실이 됐다. 해커그룹 ‘다크사이드’가 7일 미국 최대 송유관 기업 콜로니얼파이프라인을 상대로 ‘랜섬웨어’ 테러를 감행하자 동부 각 주의 주유소는 석유를 먼저 구하려는 인파로 아수라장이 됐다. 미국 석유류 가격은 2014년 이후 7년 만에 최고 수준으로 급등했고 국제 유가 급등에 따른 인플레이션 ‘압박’까지 커졌다. 파월 의장의 말대로 사이버테러 한 건이 세계 경제에 충격파를 던진 것이다.

콜로니얼 암호화폐 56억원 지불

더 놀라운 것은 콜로니얼이 사이버 공격이 발생한 지 불과 몇 시간 만에 500만 달러(약 56억 4,000만원) 상당의 암호화폐를 다크사이드에 지불했다고 13일(현지 시간) 블룸버그통신에서 보도한 점이다. 14일에는 원자력발전 등 에너지 사업을 하는 일본 도시바 유럽사업부도 다크사이드의 소행으로 추정되는 사이버 공격을 당한 것으로 알려졌다.

해킹 한건당 최대 2,000만 달러 요구

지난해 8월 처음 등장한 것으로 알려진 다크사이드는 스스로를 ‘수익만 추구할 뿐 사회적으로 해를 끼치지는 않는 집단’이라고 규정한다. 그러나 현재까지 다크사이드의 테러 이력을 보면 그들의 주장은 말 그대로 주장일 뿐이다. 미 연방수사국(FBI)과 사이버안보·기간시설안보국(CISA)은 최근 보고서에서 다크사이드가 사회 기반 시설을 주 공격 대상으로 삼고 있다고 밝혔다. 올 초 브라질 국영 전력 회사인 엘레트로브라스가 다크사이드의 공격을 받은 것을 비롯해 서구권 배터리·기계·유통·엔지니어링·화학 기업들도 피해를 봤다. 다크사이드는 주로 영어권 서방 국가들의 80개 이상 기업을 상대로 랜섬웨어 공격을 가했는데 피해 기업에 적게는 20만, 많게는 2,000만 달러어치의 암호화폐를 요구하는 것으로 알려졌다.

해킹 기술 팔아 수수료 챙기는 사업 모델

다크사이드는 이른바 비즈니스형 악당이다. ‘서비스형 랜섬웨어(RaaS·Ransom as a service)’를 사업 모델로 삼고 있어서다. 최근 소프트웨어 업계에서는 소프트웨어를 직접 구매하지 않아도 판매 기업이 운영·관리해주는 서비스형 소프트웨어(SaaS) 모델이 대세로 떠올랐는데 해커 집단들이 여기에 랜섬웨어를 접목해 사업 모델화한 것이다. 악성코드를 만들 줄 모르더라도 다크사이드와 RaaS 계약을 맺으면 누구든지 전문 해커처럼 활동할 수 있다.

랜섬웨어 제작사는 일정 수수료를 받아 수익을 낸다. 블룸버그는 “다크사이드가 RaaS 모델을 고리로 삼아 프랜차이즈로 운영되고 있다”고 분석했다. 실제 다크사이드의 소행으로 알려진 사이버 공격도 다크사이드가 직접 나선 것인지, ‘점조직’에 해당하는 다른 해커가 한 것인지조차 불분명한 상황이다.

랜섬웨어가 기업화하고 있지만 콜로니얼의 사례처럼 범죄 수익을 암호화폐 등으로 받아 추적이 더 어려워지고 있다. 실제 지난해 총 3억 5,000만 달러(약 4,000억 원) 상당의 암호화폐가 랜섬웨어 ‘몸값’으로 지불된 것으로 파악됐다.

미 정보 당국은 다크사이드의 ‘배후’에 러시아가 있다고 강하게 의심한다. 실제 다크사이드의 근거지는 러시아 또는 동유럽으로 파악됐다. 또 다크사이드와 협업 관계인 러시아 공격 단체 5곳이 발견됐다는 보안 업계의 증언도 나온 상황이다. 사이버 보안 및 방산 업체인 BAE시스템스인텔리전스에 따르면 다크사이드는 협력 해커들에게 옛 독립국가연합(CIS) 출신 국가들을 공격 대상으로 삼지 말라고 당부한 것으로 전해졌다.

전기, 수도, 가스도 공격 범위

이번 사태로 조 바이든 미 대통령은 12일 사이버 안보 기준을 높이는 내용의 행정명령에 서명했다. 콜로니얼이 다크사이드의 공격을 받은 지 채 일주일도 되지 않아 후속 조치가 이뤄진 것이다.

특히 이번 행정명령의 대상에 연방 정부기관뿐 아니라 국가의 주요 기반 시설을 관리하는 민간 분야가 포함된 것은 눈여겨봐야 할 부분이다. 미국은 전기·수도·가스 등 주요 사회 인프라망을 민간 기업이 운영하고 있다. 이번 콜로니얼 사례처럼 해커가 작정하고 공격할 경우 피해가 걷잡을 수 없이 커질 것으로 우려되는 것이다.

/조양준 기자 mryesandno@sedaily.com

[ⓒ 서울경제, 무단 전재 및 재배포 금지]

기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.