“우크라 전쟁으로 세계 최대 해킹 조직 ‘콘티’ 정체 들통”

러시아의 우크라이나 침공 여파로 세계 최대 해킹 조직으로 알려진 ‘콘티(Conti)’의 정체가 드러났다고 일본 니혼게이자이(닛케이)신문이 16일 보도했다.

해킹 그래픽

주요 멤버가 러시아어를 쓰고 거점을 러시아 상트페테르부르크에 둔 것으로 알려진 콘티는 2년 전 활동을 시작한 이후 무차별적으로 기업들을 공격해 악명을 떨쳤다. 기업의 전산망에 침투, 기밀을 탈취하거나 시스템 자체를 마비시킨 뒤, 시스템 복구나 기밀 파기 조건으로 돈을 요구했다. 정보 당국에 신고하면 가차 없이 기밀을 외부 공개하고 시스템을 파괴했다.

미국 정부는 최근 이 조직 검거에 현상금을 최고 1000만달러(약 130억원) 걸기도 했다. 지난 1년 6개월간 해킹으로 얻은 수입이 확인된 것만 1000억원 이상일 정도로 거대한 조직인데, 이런 S급(최상급) 해킹 조직의 실체가 드러나긴 이번이 처음이다.

콘티는 지난 2월 러시아의 우크라이나 침공을 지지하는 성명을 냈다. 그런데 우크라이나를 지지하는 조직원들이 집단 반발했고 이 과정에서 조직원 간 대화 내용이 유출됐다. 우크라이나를 지지하는 일부 회원의 반발을 샀고, 이들이 그룹 내 채팅 애플리케이션을 통한 대화를 무더기로 외부에 유출했다. 유출된 대화는 2020년 6월부터 올해 3월까지로 약 17만건, 총 700만자(字) 분량이다.

닛케이는 보안회사 등과 협력해 유출된 대화 정보를 분석했고, 이를 통해 얻어진 데이터를 보안회사 미쓰이물산시큐어디렉션과 함께 분석해 조직 구성과 돈세탁, 채용 방식 등 콘티의 전모를 공개했다.

콘티의 조직원은 최소 350명으로 추산된다. 유출된 대화에 등장하는 인물이 이 정도였다. 조직 총괄은 스턴(Stern)이란 인물로, 조직원들에게 1만회 이상 지시를 내렸다. 30여 명이 관리자 역할을 하는 것으로 추정된다. 돈세탁을 위해 암호화폐 수백 계좌에서 비트코인 수천 개를 주고받으면서 당국의 추적을 봉쇄했다. 콘티는 1년 6개월 동안 전 세계 기업에서 비트코인 2321개(올 3월 기준 약 1160억원)를 받아 645계좌에서 주고받기를 거듭했다.

닛케이는 “콘티는 주식회사처럼 대표이사 역할과 인사·교육·홍보, 신규 사업과 같은 조직 분업화가 이뤄졌다”며 “공격도 단순 해킹 수준이 아닌, 실행·개발·조사·해석부가 분업하는, 말 그대로 기업 같은 곳”이라고 보도했다. 예컨대 조사부는 공격할 기업을 물색하고 실행부는 침투를 감행한다. 이때 개발부는 해킹 공격 도구를 개발해 실행부를 돕고, 해석부는 다른 해킹 조직의 악성코드를 분석해 개발부가 더 좋은 해킹 도구를 만들도록 지원하는 식이다.

실행부가 기업 전산망을 뚫으면 교섭·홍보팀이 나서서 해당 기업에 협박 메일을 보낸다. 예컨대 올 1월 대만의 제조사인 델타를 해킹해 서버 1500대와 컴퓨터 1만2000대를 장악한 뒤 몸값 1500만달러를 요청했다. “즉시 돈을 지불하면 할인해 주겠다”며 협상을 시도했다.

조직 확대를 위한 인재 관리 매뉴얼도 있다. 채용 땐 ‘18~25세, 일은 완전 자택 근무, 토·일은 휴무, 유급 휴가 있음’과 같은 조건을 내건다. 급여는 월 2000달러 정도로, 철저한 능력제이며 프로젝트 단위 참여도 가능하다. 콘티의 매뉴얼엔 ‘관리자가 직원에게 강압적이어선 안 되고 ‘좋은 성과에 감사한다’는 친절한 언어로 직원의 자존감을 높여야 한다’는 내용도 있다.

닛케이는 “조직원 가운데는 범죄인 줄도 모르고 해킹에 참여하는 사례도 있는 것으로 보인다”며 “대화 내용엔 콘티와 러시아연방안보국(FSB) 간 연계를 암시하는 대목도 있다”고 보도했다. 하지만 이 신문은 암시 내용을 공개하지 않았다. 하지만 미국 보안업계에선 “콘티가 무차별 공격하면서도 러시아 기업을 공격한 사례는 거의 찾기 어려운데 러시아 당국과 협력한다는 방증”이라는 시각이 우세하다.

대다수 기업들은 콘티에서 ‘블랙메일’을 받으면 쉬쉬하고 돈을 지불하기 일쑤다. 싱가포르의 다크트레이스가 지난 2020년 이후 공개된 해킹 피해 기업 수를 집계한 결과, 콘티는 무려 824곳을 공격해 2위 록비트(691곳)나 3위 피사(308곳)보다 많았다. 전문가들은 “해킹 사례가 공개되는 건 아주 극소수에 불과해 이런 수치는 빙산의 일각”이라고 말한다.

미국 보안 회사 소닉월은 작년 해킹 피해는 실제론 약 6억2300만건에 이른다고 추정했다. 웬만한 기업은 모두 랜섬웨어의 표적이란 뜻이다. 실제로 최근 일본 도요타자동차가 공급망에 사이버 공격을 받아 운영을 일시 중지했고, 국내에서도 SK하이닉스와 LG전자가 랜섬웨어 공격을 당한 사실이 공개되기도 했다.

이용성 기자

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>