美송유관 공격한 '다크사이드'
670억 빼돌리고 유유히 사라져
랜섬웨어 해킹그룹의 특기는 ‘범죄 흔적의 인멸’이다. 점조직 형태로 분산활동-공격-해산-재결성을 반복해 수사기관의 포착과 추적을 유유히 따돌리는 게 대부분이다. 최근 국제사회를 떠들썩하게 한 해킹 조직도 똑같은 특성을 드러내 추가 피해를 우려하는 목소리가 커지고 있다.
16일 정보기술(IT)업계에 따르면 지난달 미국 송유관 업체 콜로니얼파이프라인, 프랑스 보험회사 악사를 각각 공격한 것으로 추정되는 랜섬웨어 해킹그룹 ‘다크사이드’ ‘아바돈’ 등이 최근 연이어 운영을 중단했다.
다크사이드는 지난해 8월부터 급부상한 해커단체다. 주로 영미권 기업을 노려왔으며, 자신들의 코드를 활용해 기업을 공격하는 ‘해커 고객’에겐 “피해액이 클수록 코드 이용 수수료를 깎아준다”는 질 나쁜 운영책을 편다. 블록체인 업체 체인애널리시스에 따르면 다크사이드가 지난 7개월간 올린 수익은 6000만달러(약 670억원)에 달한다. 다크사이드는 최근 콜로니얼파이프라인 해킹 사태로 미국 사법당국의 압박이 거세지자 운영을 중단한 것으로 전해졌다.
아바돈은 지난 11일 피해자 데이터를 복구할 수 있는 키를 공개했다. 지난달 프랑스 보험사 악사와 국내 기업을 해킹한 단체로 유명세를 얻은 곳이다. 미 보안업체 레코디드퓨처에 따르면 아바돈은 콜로니얼파이프라인 해킹 사태 이후 발생한 랜섬웨어 해킹의 23.7%를 차지하며 1위에 올랐다. 지난해 맹위를 떨친 해킹그룹 레빌(8100만달러)과 다크사이드의 수익 등에 비춰 이들 역시 비슷한 규모의 이익을 냈을 것으로 추산된다.
해커들의 이런 행태는 앞서 랜섬웨어 ‘갠드크랩’의 제작자가 은퇴를 선언한 뒤로 세간에 알려졌다. 2018년 처음 등장해 약 1년6개월 동안 수많은 피해를 안긴 갠드크랩은 2019년 제작자로 추정되는 해커가 다크웹에 은퇴 선언문을 올려 화제를 모았다. 당시 그는 1억5000만달러(약 1700억원)을 현금화했다고 밝혔다.
임종인 고려대 정보보호대학원 교수는 “해커 집단은 IP주소와 암호화폐 출금을 우회하는 것이 기본이고, 소통도 다크웹이나 텔레그램 등을 통한다”며 “마치 복권에 당첨된 것처럼 모여서 ‘한탕’하고 돈을 다 쓰면 언제든 다시 모일 수 있어 주의가 필요하다”고 말했다.
이시은 기자 see@hankyung.com