'해킹 산업화'의 원흉 '비트코인'…위치추적 안 되자 활개[은폐⑥]

은폐_해킹 당해도 숨는 기업들

<2부. 음지의 협상>
[3]비트코인이 키운 악마집단

같이 가는 랜섬웨어·비트코인 흐름
2020년 직후 함께 급증하는 모습

은행 추적 피해 도망다니던 해커들
비트코인 등장 이후 활개

누구나 해커 만들어주는 'RaaS'도
최근 랜섬웨어 기승 부리는 원인

비트코인 가격이 천정부지로 치솟으면서 조용히 웃는 건 해커들이다. 암호화폐는 2010년대 중반부터 '몸값' 지불수단으로 각광받았는데, 인질로 삼은 기업에 돈을 어디로 보내는지는 정확하게 알려주면서도 누구도 자신의 위치를 추적할 수 없는 수단이 생겼기 때문이다. 해커는 더욱 완벽한 인질극을 벌일 수 있게 된 셈이다.

2022년 러시아-우크라이나 간 전쟁 발발 이후 세계 최대 해킹조직인 러시아 '콘티(Conti)'에서 발생한 내분으로 회계장부가 세상에 공개된 적이 있다. 콘티가 한 해 동안(2021년 기준) 랜섬웨어 공격으로 벌어들인 돈은 무려 1억8000만달러(2556억원)에 달했다. 당시 로이터는 "거의 모든 랜섬웨어 공격은 비트코인으로 이뤄진다. 이런 암호화폐는 랜섬웨어 확산에 큰 영향을 미쳤다"고 보도하며 콘티가 엄청난 수익을 낼 수 있었던 이유를 분석했다.

비트코인이 해킹 '산업화' 부추겨

암호화폐가 등장하기 전까지만 해도 해커들은 도망 다니기 바빴다. 은행을 통해 거래하면 추적당하기 쉬워 돈을 요구하기보다 '이런 기업도 뚫을 수 있다'며 실력을 자랑하는 것이 목적이었다. 하지만 비트코인이 보편화되면서 해킹은 '산업화'되기 시작했다. 암호화폐가 '검은돈'을 세탁해 주자 랜섬웨어 범죄의 진입장벽이 낮아진 것이다. 해커들이 훔친 데이터를 거래하는 다크웹 규모가 점점 커지는 것을 봐도 알 수 있다.

구글 위협 인텔리전스 그룹(GTIG)에 따르면 다크웹에서 데이터유출사이트가 새롭게 생성된 건수는 2022년 25개, 2023년 34개, 지난해는 최소 47개에서 최대 50개에 달했다. 국내 보안업계 관계자는 "이런 지표로 '해커가 많아진다'는 걸 추정할 수 있다"며 "아프리카 초원에 하이에나들이 많아지면 예전에는 쳐다보지도 않던 먹잇감까지 목표물이 되는 것처럼 피해기업 업종과 규모가 다양해졌다"고 했다.

랜섬웨어 피해기업과 비트코인 가격은 동조화 현상을 보였다. 안랩의 사이버 침해사고 대응 및 위협 인텔리전스 전담 조직 '에이-퍼스트(AhnLab Forensic Intelligence ReSearch Team·A-FIRST)'가 지난 10년간(2014~2024년) 랜섬웨어 활동과 비트코인 종가 흐름을 살펴본 결과 비슷한 궤도를 그렸다. 랜섬웨어 활동은 보안 전문 매체를 통해 파악한 피해사례 보도건수를 기준으로 했다.

특히 2020년 직후에는 둘 다 치솟았다. 피해기업 보도건수는 2020년 206건에서 2021년 427건으로 2배 넘게 뛰었다. 1비트코인당 가격 역시 2만8949달러에서 4만6219달러로 2배가량 상승했다. 안랩 관계자는 "2023년에는 비트코인 가격이 떨어졌고 랜섬웨어 활동 역시 주춤했지만 지난해 말부터 다시 급등하는 중"이라며 "올해도 비트코인 가격이 상당히 올라서 랜섬웨어 피해가 크게 늘어날 우려가 있다"고 했다.

'서비스형 랜섬웨어'로 해킹 극성

비트코인 말고도 앞으로 해킹이 더 기승을 부릴 것으로 전망되는 이유는 또 있다. 일부 해커들이 랜섬웨어 제작부터 유포까지 돕는 '서비스형 랜섬웨어(RaaS)'를 만들어 낸 것이 화근이다. 보안업계 관계자는 "SK텔레콤 해킹에 활용된 악성코드 'BPF도어'를 오픈소스 활용으로 여러 해커집단이 쉽게 사용할 수 있는 것과 같은 이치"라며 "과거에는 전문 해커만 공격했지만 이제는 다크웹에서 RaaS가 거래되면서 마음만 먹으면 누구나 범죄를 저지를 수 있다"고 했다. RaaS는 해킹기술은 물론 자금세탁, 변종개발까지 24시간 지원한다. 보통 300달러(42만원)를 내면 RaaS를 이용할 수 있다. 몸값을 받아내는 데 성공할 경우 '7(해커)대 3(RaaS 운영자)'에서 '9대 1'까지 수익을 나누는 식이다.

'서비스형 랜섬웨어(RaaS)' 수익모델을 적용한 대표적인 해커조직 '아키라'. 다크웹상 아키라의 사이트에서 데이터가 공개된 기업은 240곳이 넘는 것으로 집계됐다.

RaaS 수익모델을 적용한 대표적인 해커조직으로는 2023년 초 등장한 '아키라'가 있다. 해커들은 아키라가 제공하는 해킹 기술로 기업을 공격한 뒤 기업 데이터를 아키라의 다크웹 홈페이지에 게시한다. 이 사이트에 들어가 보면 "여기에 접속했다는 건 사이버공격을 당했다는 뜻"이라며 "이번 사건을 '예고 없는 강제 네트워크 취약점 감시'로 여기고 협조하면 피해를 최소화할 수 있다"고 적혀 있다. 그러면서 "다른 선택을 한다면 이곳에서 공개 망신을 당하게 될 것"이라며 정보유출을 경고했다. SK쉴더스에 따르면 이 사이트에서 데이터가 공개된 기업은 지난해 말 기준 240곳에 달한다. 협상 후 비공개 처리된 사례나 아직 공개되지 않은 기업을 고려하면 실제 피해는 더 클 것으로 추정된다.

편집자주현실 세계에서 인질극이 벌어지면 누군가 신고를 하기 마련이다. 당한 사람이 직접 하든 주변에서 대신 하든 빨리 경찰에 알리는 게 급선무다. 그런데 랜섬웨어로 인해 벌어지는 사이버 인질극은 정반대다. 피해기업은 돈과 시간을 해커에게 몽땅 빼앗기고도 철저하게 숨기 바쁘다. 지난 10년간 총 2만건이 넘는 랜섬웨어 공격에 대응해 온 이형택 한국랜섬웨어침해대응센터장은 "SK텔레콤처럼 해킹을 당하면 신고하는 기업은 극히 드물다고 봐야 한다. 피해를 입고도 외부에 절대 알리지 않는 기업이 10곳 중 9곳은 된다"며 "해커는 돈만 챙기고 떠나는 구조가 반복되고 있다"고 했다.

전영주 기자 ange@asiae.co.kr
박유진 기자 genie@asiae.co.kr
심나영 기자 sny@asiae.co.kr