미 국무부와 유로폴의 공조로 꼬리 잡혀…단순 사기 사건 아닌 국가 안보 직결

최소 1억 달러 해킹한 하이브 폐쇄로 알아보는 랜섬웨어 대응법[비트코인 A to Z]
랜섬웨어 공격은 개인과 기업 모두에 골칫거리다. 랜섬웨어는 중요한 데이터를 암호화하고 해당 데이터를 인질로 삼아 막대한 몸값을 요구한다. 랜섬웨어는 국가 기관이나 중요 인프라에도 공격을 가할 수 있기 때문에 몸값 지출의 문제를 넘어 국가 안보에 심각한 영향을 끼칠 수 있다. 랜섬웨어 공격이 지속적으로 증가하는 가운데 최근 미국 법무부(DOJ)와 유로폴(Europol : 유럽경찰조직)이 악명 높은 랜섬웨어 그룹인 하이브(Hive)를 폐쇄시켰다는 반가운 소식을 전했다.

하이브 랜섬웨어는 2021년 등장한 이후 가장 활발히 활동한 랜섬웨어 중 하나로, 지금까지 최소 1억 달러(약 1219억원) 이상의 피해액을 일으켰다. 특히 콘티(Conti) 랜섬웨어가 작년 2월 러시아의 우크라이나 침공 직후 러시아에 대한 지지를 표명하고 폐쇄됐기 때문에 여러 랜섬웨어 공격자들이 하이브로 이동해 왕성한 활동을 이어 갔다.

최소 1억 달러 해킹한 하이브 폐쇄로 알아보는 랜섬웨어 대응법[비트코인 A to Z]
병원 등 주요 인프라 공격한 하이브다른 랜섬웨어 조직과 마찬가지로 하이브는 병원과 같은 중요한 인프라를 공격했고 더 효과적으로 몸값을 얻어 내기 위해 피해자들의 민감한 정보를 게시하는 등 데이터 유출 위협을 협상 전술로 사용했다. 하이브는 현재 제재 대상에 오른 가상 자산 거래소인 가란텍스(Garantex)를 이용해 피해자들에게 받은 자금을 세탁해 왔다. 가란텍스가 제재를 받으면서 사이버 범죄자들이 피해 자금을 안정적으로 현금화하는 데 어려움을 겪게 됐다. 이는 자연스럽게 랜섬웨어 공격자들의 동기 저하로 이어졌다.

미국 법무부와 유로폴이 하이브를 무너뜨릴 수 있었던 결정적인 계기는 바로 연방수사국(FBI)이 2022년 7월 하이브의 서버에 침입해 복호화 키를 확보했기 때문이다. 피해자들은 이를 통해 1억3000만 달러(약 1600억원)에 달하는 피해를 막을 수 있었다. 하이브 폐쇄는 정부의 조치만으로도 피해를 줄이는 데 중요한 동력이 될 수 있다는 것을 보여줬다. 랜섬웨어 공격자가 제재 대상과 연루돼 있다면 피해자는 더 큰 사건에 휘말리지 않기 위해 몸값을 지불하지 않을 확률이 높기 때문이다.

실제 랜섬웨어 대응 회사인 코브웨어의 고객 사례를 통해 2019년 이후 몸값 지불률은 76%에서 41%로 하락한 것을 확인할 수 있었다. 이러한 추세는 매우 희망적이다. 지불률 하락의 주요 원인 중 하나는 2021년 9월 몸값을 지불할 경우에 대한 제재 위반 가능성을 언급한 미 재무부(OFAC) 주의보다. 제재 위협이 대두되면서 랜섬웨어 공격자에게 몸값을 지불할 경우 겪게 될 법적 위험이 추가됐다.
최소 1억 달러 해킹한 하이브 폐쇄로 알아보는 랜섬웨어 대응법[비트코인 A to Z]
최근 발표한 체이널리시스의 가상 자산 범죄 보고서에 따르면 2022년 랜섬웨어 피해액은 4억5680만 달러(약 5633억2576만원)로 2021년 랜섬웨어 피해액인 7억6560만 달러(약 9443억6760만원)에 비해 약 40% 감소했다. 하지만 이 수치는 랜섬웨어 공격자의 가상 자산 주소를 모두 포함하지 않기 때문에 추가로 파악되는 가상 자산 주소가 있다면 피해액은 더 늘어날 수 있다.피해자 몸값 지불 비율 낮아져
최소 1억 달러 해킹한 하이브 폐쇄로 알아보는 랜섬웨어 대응법[비트코인 A to Z]
2022년 랜섬웨어 피해가 줄어든 것은 피해자들의 몸값 지불 거부와 랜섬웨어 공격을 방어하기 위한 사이버 보안 강화로 풀이된다. 실제로 지난 몇 년간 많은 조직에서는 사이버 보안 조치가 크게 개선됐다. 랜섬웨어 피해자에게 보상금을 지급하는 사이버 보험사들은 랜섬웨어 보험 가입 조건으로 엄격한 사이버 보안 및 백업 조치를 준수할 것을 요구한다. 그 덕분에 기업의 사고 비용은 물론 랜섬웨어 피해액 또한 감소하게 됐다.

하지만 아직 안심하기엔 이르다. 하이브가 다른 형태로 재편될 가능성은 아직 남아 있고 다른 랜섬웨어의 위협도 여전하기 때문이다. 기업과 개인 모두 랜섬웨어 공격자와의 싸움에서 경계를 늦추지 말아야 한다.

기업과 개인 모두 랜섬웨어로 인한 위협에 대해 더 예민하게 인식하고 시스템을 업데이트하고 데이터를 백업하는 등 데이터를 보호하기 위한 조치를 취해야 한다. 100% 완벽한 랜섬웨어 예방책은 없다. 효과적인 백업 솔루션을 보유한다고 해서 랜섬웨어 공격이 중단되거나 데이터 도난에 도움이 되지는 않겠지만 적어도 피해자에게 더 많은 대안을 제공해 몸값 지불 강요를 피할 수 있다.

더 나아가 사회 구성원 모두가 이러한 악의적 행위자들을 법의 심판대에 세우기 위해 협력하는 것이 필수적이다. 법 집행 기관 간 협력 강화, 정보 및 위협 데이터 공유, 이러한 유형의 공격을 처리하기 위한 국제 프로토콜 구축 등이 더 활발히 이뤄져야 한다. 그래야만 우리는 증가하는 랜섬웨어 위협에 효과적으로 대처하고 디지털 세계의 안전과 보안을 보장할 수 있을 것이다.

하이브의 폐쇄는 가상 자산업계뿐만 아니라 사이버 보안, 법 집행 기관, 국가 안보에 시사하는 바가 크다. 이는 정부가 랜섬웨어 공격자에게 대응할 수 있는 능력이 발전하고 있다는 것을 보여주며 또한 피해자가 피해 사실을 법 집행 기관에 보고함에 따라 사이버 범죄 조직을 방해하는 국제 협력의 이를 방증한다. 앞으로도 랜섬웨어와의 전쟁에서 정부 기관들과의 공조가 이뤄진다면 승리는 물론 랜섬웨어 퇴치에 한 걸음 더 다가갈 수 있을 것이다.

백용기 체이널리시스 한국 지사장