이미지 확대보기
콜로니얼 파이프라인 공격 이후 몇 달 동안의 다크사이드 비밀 통신을 보면, 매달 수백만 달러의 몸값 지불을 끌어들이는 사이버 범죄가 급증하고 있음이 드러난다. 다크사이드는 심지어 해킹 집단을 방계 조직으로 거느리고 있다. 다크사이드는 이를 ‘서비스로서의 랜섬웨어(랜섬웨어 as a Service)’라고 부른다.
콜로니얼 파이프라인을 공격해 미국 동부 연안의 휘발유 등 연료 공급을 방해하기 몇 주 전, 다크사이드는 미국 중서부에 위치한 가족 소유의 소규모 출판사를 도청하고 있었다. 해커 워리스와 함께 일하면서 다크사이드는 175만 달러의 몸값 요구를 들어주지 않을 경우, 출판사 웹사이트를 폐쇄하기 위한 공격을 시작하겠다고 위협했다. 이 출판사는 초등학교 교육 분야와 관련된 온라인 사이트를 운영하고 있었다. 다크사이드는 심지어 유출한 출판사 고객들 정보로 소아성애자들에게 위조 신분증을 만들어 제공하겠다고 까지 협박했다. 출판사는 몸값을 지불했다.
다크사이드를 비롯한 사이버 갱단들은 고도로 정교한 해킹 분야에서 벗어나 빠르게 확장하고 있는 러시아 기반의 범죄 산업에도 진출하고 있다. 이제는 소규모 범죄 조직이나 해커들도 국가 안보에 잠재적 위협을 줄 수 있다. 사실상 누구나 랜섬웨어를 무기로 유튜브의 도움을 받아 손상된 컴퓨터 시스템에 로드할 수 있게 되었다.
사이버 범죄로 벨라루스에서 10년간 복역한 해커 출신 세르게이 파블로비치는 "이제 우리 중 누구라도 사이버 범죄자가 될 수 있다"라며 "해커 진입 장벽은 극도로 낮아져다"고 말했다.
다크사이드도 성장통을 겪었다고 한다. 랜섬웨어 플랫폼을 사용하기 어려워 해킹 공격을 수행하는 과정에서 시간과 비용이 과도하게 들었다는 것이다. 그러한 과정을 겪은 다크사이드는 고도화된 비즈니스 모델을 갖고 있다. 콜로니얼 파이프라인 공격 후 수사가 진행되면서 "해체하겠다"고 선언했지만 이를 사실로 받아들이는 관계자는 거의 없다.
뉴욕타임즈는 다크사이드가 공격을 조직하고 수행하기 위해 사용했던 내부 대시보드에 접근했다고 한다. 다크사이드 대시보드 접근 결과, 세계적인 사이버 범죄의 얼굴이 된 러시아어 구사 갱단의 내부 활동을 엿볼 수 있었다고 한다. 대시보드는 사용자에게 다크사이드의 공격 목표 목록뿐만 아니라 수익 창출을 위한 전략을 세울 수 있는 그룹 고객 지원 인력과의 연결까지 제공했다고 한다.
랜섬웨어를 중심으로 한 해킹 조직 구조는 맥도날드나 허츠 가튼 프랜차이즈를 모방하고 있어 진입장벽을 낮추고 검증된 비즈니스 관행과 기술을 쉽게 복제할 수 있다. 계열 조직 결성은 물론 랜섬웨어 최신 버전의 다운로드 등이 자유자재로 이루어진다. 해킹 산업의 다양화는 현재진행형이다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com
