미 송유관 해킹 집단, 활동 중단 선언…“지금은 너무 위험” 판단 가능성

랜섬웨어 해커 집단 다크사이드, 관련 해커들에게 활동 중단 전해
7개월에 660억원 챙긴 걸로 추산…이름 바꿔 활동 재개 가능성
랜섬웨어 해커 집단 전체의 수익은 지난해 20조원에 달해

미국 최대 송유관 운영업체 컬로니얼 파이프라인의 메릴랜드주 원유 저장소. 이 업체를 공격한 해커집단 다크사이드가 미국 정부의 수사가 집중되자 활동 중단을 선언했다. 우드바인/EPA 연합뉴스

미국 최대 송유관 운영사 컬로니얼 파이프라인을 공격한 해커 집단 다크사이드가 활동 중단을 선언했다고 보안 전문가들이 전했다고 미 경제지 <월스트리트 저널> 등이 15일(현지시각) 보도했다.

신문은 보안 전문가들의 말을 인용해, 다크사이드가 운영에 필요한 자금 결제 시스템 등의 접근 권한을 잃어 활동을 중단한다고 관련 해커들에게 전했다고 보도했다. 다크사이드가 시스템 접근 권한을 잃은 것이 미국 정부 기관의 작전 결과인지, 활동 중단이 영구적인 것인지는 불분명하다고 신문은 덧붙였다.

다크사이드는 랜섬웨어 공격(사용자의 컴퓨터 파일을 암호화한 뒤 돈을 요구하는 해킹 공격)에 필요한 소프트웨어를 개발하고, 피해자들에게 돈을 요구해 받고, 해킹한 자료를 보관하는 등의 일을 담당한다. 실제 컴퓨터 시스템에 침투하는 작업은 제휴 관계에 있는 해커 집단이 담당하며, 이들은 피해자들에게서 받은 돈의 75% 정도를 챙긴다고 파이어아이 등의 보안 기업들이 전했다.

다크사이드가 운영하는 웹 사이트는 지난 13일부터 접속이 되지 않는 상태이며, 전직 미 관리들은 미국 정부가 다크사이드의 시스템을 압수했더라도 이상할 게 없다는 반응을 보였다고 신문은 전했다. 미 연방수사국(FBI)을 비롯한 관계 당국은 지난 7일 컬로니얼 파이프라인에 대한 랜섬웨어 공격 직후 다크사이드를 범인으로 지목하고 대대적인 수사에 나섰다.

컬로니얼 파이프라인은 랜섬웨어 공격을 받은 뒤 비트코인으로 500만달러(약 55억원)를 지불했으며, 공격 엿새 뒤인 지난 12일 오후부터 재가동에 들어갔다.

다크사이드는 1년여 전만해도 거의 알려지지 않은 집단이었으나, 최근 시스템 침투 등을 맡는 ‘제휴 해커들’을 끌어들이면서 세를 불렸다. 지난 3월 이후 지금까지 이 집단이 랜섬웨어 공격을 통해 번 돈만 1750만달러(약 192억원) 규모라고 영국 <파이낸셜 타임스>가 블록체인 분석 집단 엘립틱의 자료를 인용해 보도했다. 또다른 블록체인 분석 업체 체인어낼리시스는, 다크사이드가 지난 7개월동안 번 돈을 6천만달러(약 660억원)로 추산했다.

다크사이드가 활동 중단을 선언했지만, 이름을 바꿔 활동을 재개할 여지는 얼마든지 있다는 게 보안 전문가들의 지적이다. 랜섬웨어 피해 대응을 돕는 기업인 키뷰 컨설팅의 연구 책임자 윈스턴 크론은 “다크사이드가 ‘지금은 상황이 너무 위험하다’고 판단해 자발적으로 활동을 중단했더라도 놀라울 게 없다”고 말했다.

랜섬웨어 공격을 벌이는 해커 집단 전체가 지난해 벌어들인 돈 총액은 180억달러(약 20조원)에 달하며, 공격 한 건당 평균 수입은 15만달러(약 1억6500만원)라고 사이버 보안 그룹 엠시소프트가 분석했다.

미국의 전략국제학센터의 보안 전문가 제임스 루이스는 “컬로니얼 사건을 계기로 이 참에 랜섬웨어 공격 집단들을 역으로 해킹하자는 논의가 활발해지고 있다”고 전했다.

신기섭 선임기자 marishin@hani.co.kr