도플페이머의 핵심 인물 두 명이 유럽에서 체포됐다. FBI가 첩보를 흘리고 독일과 우크라이나가 각각 자기 나라에서 검거 작전을 펼쳤다. 랜섬웨어의 극성을 더 이상 두고볼 수 없다는 여러 정부 기관들의 움직임이 점점 빨라지고 있다.

[보안뉴스 문가용 기자] 2월 28일, 도플페이머(DoppelPaymer)라는 랜섬웨어 조직의 구성원이라고 알려진 두 명의 용의자가 경찰의 공조 작전으로 유럽에서 체포됐다. 이 사실을 유로폴이 3월 6일에 공개했다. 보안 업체 맨디언트(Mandiant)의 수석 분석가인 제레미 케넬리(Jeremy Kennelly)는 “랜섬웨어를 겨냥한 정부와 사법 기관들의 움직임이 점점 빨라지고 있다”며 “그것 자체가 사이버 범죄자들에게 꽤 큰 부담감으로 작용한다”고 짚었다.

[보안뉴스 / 3.7.] 도플페이머의 핵심 인물 두 명 체포한 미국, 독일, 우크라이나의 공조

[이미지 = utoimage]

도플페이머 조금씩 깎아먹는 경찰
도플페이머는 4년 전에 등장한 랜섬웨어로, 비트페이머(BitPaymer)라는 랜섬웨어와 드리덱스(Dridx)라는 뱅킹 트로이목마를 기반으로 하고 있다. 사이버 범죄자들은 그 동안 도플페이머를 이용해 콤팔(Compal)과 기아(Kia)와 같은 굵직한 기업들을 공격했으며, 그 과정에서 수백만~수천만 달러를 피해자에게 요구하기도 했다. 정부 기관과 사회 기반 시설을 겨냥한 공격에서도 도플페이머가 발견되곤 했다.

2020년 9월 도플페이머는 독일의 뒤셀도르프(Dusseldorf) 지역에 있는 병원과 응급 구조대 사이의 연락망을 끊어놓기도 했다. 이 때문에 병원에서는 긴급 이송되는 환자를 받을 수 없게 됐고, 이 때문에 위급한 환자들이 다른 병원으로 옮겨가야만 했다. 다른 병원은 수십 킬로미터 떨어져 있었고, 이송된 환자 한 명은 사망에 이르렀다. 하지만 경찰은 환자의 상태가 워낙 위중했기 때문에 병원으로 제대로 실려 왔어도 사망했을 가능성이 높은 것으로 보고 있다. 보안 업계에서는 랜섬웨어가 인명 피해로 이어진 최초의 사태라고 보는 시각도 존재한다.

3월 6일 유로폴은 독일 라인강 북부 지역의 경찰이 한 독일 국적자의 집을 급습했다고 발표했다. 도플페이머라는 그룹의 활동과 깊이 연관되어 있는 것으로 의심되는 인물이라고 경찰은 설명했다. 같은 시기 우크라이나의 경찰들도 우크라이나에서 두 번째 인물을 검거하는 데 성공했다. 그런 후 도플페이머와 관련된 것으로 보이는 장소 두 군데를 수색하기도 했다. 전쟁이 한참 벌어지고 있거나 벌어졌던 키이우와 하르키우라는 지역에서였다.

독일 경찰과 우크라이나 경찰은 모두 체포 과정에서 전자 장비들을 압수했으며, 이 장비들은 현재 포렌식 전문가들이 분석하는 중이다. 이 모든 과정에 유로폴, 독일 경찰, 우크라이나 경찰, 미국 FBI가 함께했다고 유로폴은 발표했다.

사법 기관들의 검거 작전, 효과가 있을까?
케넬리는 “2020년이 사이버 보안 업계에는 최악의 시기였다”고 말한다. 코로나가 한창 극성을 부리기 시작했던 때였고, 집에 갇혀 아무 데도 못 가고 인터넷만 하던 사람들을 대상으로 사이버 범죄자들은 랜섬웨어 공격의 수위를 그 어느 때보다 높였다. “그러면서 공격자들은 어마어마한 수익을 올렸습니다. 그리고 도무지 멈출 생각을 하지 않았죠. 하지만 그 누구도 그들의 그런 파렴치한 행동을 억제할 수 없었고, 아무도 체포되지 않았습니다. 모든 사람들의 분노가 쌓이고 쌓였죠.”

그러다가 공격자들은 기어이 뇌관을 터트렸다. 위에서 언급한 병원에서 벌어진 사건이 바로 그것이었다. 논란이 있긴 하지만 사람이 죽는 데 랜섬웨어가 일조했으니, 더는 두고 볼 수 없게 됐다. 사법 기관들은 본격적으로 움직이기 시작했고, 그 결과 유명 랜섬웨어 그룹들이 빠르게 사라지게 됐다. 미국 사법부는 수개월 간의 끈질긴 추적으로 하이브(Hive)를 일망타진했고, 러시아 역시 레빌(REvil)이라는 악명 높은 단체를 해산시켰다.

케넬리는 “공조로 인한 일망타진 한 번 혹은 몇몇 구성원들의 체포 몇 건으로 사이버 범죄 단체가 완전히 사라지지는 않는다”고 말하며 “실제 공조 활동이 성공적으로 벌어진 이후 많은 조직들이 부활했다”고 지적한다. “하지만 이런 사례들이 누적되고 있다는 게 중요합니다. 범죄자들 중 체포돼도 복역을 마치고 다시 범죄를 저지르면 되니까 괜찮다고 생각하는 사람은 없습니다. 한 번이라도 잡히는 걸 꺼려하죠. 사법 기관들이 효과적으로 공조하고, 체포가 빠르게 이뤄진다는 것이 아무리 바퀴벌레처럼 살아남는 범죄자들이더라도 큰 압박이 되는 건 사실입니다.”

심리적인 압박 외에, 실질적인 효과가 나타나고 있기도 하다. 케넬리는 “랜섬웨어 공격자들이 벌어들인 돈이 범죄 시장에 돌고 돌아서 전체를 윤택하게 하지만, 최근 이러한 현상이 줄어들고 있다”고 말한다. “여러 정보를 종합해 보건데, 전 세계적으로 랜섬웨어 공격의 빈도가 낮아지고 있는 것은 사실로 보입니다. 사법 기관들이 왕성하게 활동하게 시작했더니, 범죄자들이 위축된 것입니다.”

물론 랜섬웨어가 줄어든 데에는 여러 가지 요인이 있을 수 있다고 케넬리는 인정한다. “사법 기관의 압박이라는 건 여러 가지 요인 중 일부일 뿐입니다. 공격자들 사이의 트렌드가 변해서 랜섬웨어가 줄어든 것일 수도 있어요. 그러므로 상황을 낙관하기에는 이릅니다. 다만 랜섬웨어 공격자들을 겨냥한 사법 행위가 빨라지고 있고, 그것이 알게 모르게 압박으로 작용한다는 건 분명합니다.”

3줄 요약
1. 독일, 미국, 우크라이나의 공조로 도플페이머 핵심 인물 두 명 체포.
2. 도플페이머는 독일에서 병원을 마비시켜 환자 한 명을 죽게 만들기도 함.
3. 랜섬웨어 노리는 국제 기관들의 움직임이 빨라지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>