출처 : 보안뉴스

콜로니얼 파이프라인 마비시킨 다크사이드, 서버 마비로 은퇴 선언 (boannews.com) 

미국 송유관 관리 업체인 콜로니얼 파이프라인(Colonial Pipeline)을 랜섬웨어로 공격했던 일당인 다크사이드(DarkSide)가 곤란한 상황에 처한 것으로 보인다. 보안 업체 카스퍼스키(Kaspersky)가 다크웹 포럼의 게시글을 통해 발견한 바에 의하면, 다크사이드가 블로그 운영, 피해자로부터의 입금 처리, 디도스 공격 등을 위해 사용하는 서버가 마비되었다고 한다. 이들은 은퇴를 선언하기도 했다.

아직 이들의 공격 인프라 일부를 마비시킨 조직이 어디인지, 사법 기관이라면 어느 나라의 기관인지는 정확히 밝혀지지 않은 상태다. 그럼에도 현재 다크웹의 범죄자 포럼은 충격에 휩싸인 것으로 보인다. 사건이 터지고 1주일 만에 이런 식으로 뒷덜미가 잡힐 줄은 몰랐다는 것.

포럼에 참여했던 자들은 서둘러 자신이 과거에 작성했던 랜섬웨어 관련 글들을 지우고 있고, 유명한 레빌(REvil)마저 새로운 정책을 도입했다. 바로 “파트너들을 더 신중하게 고르겠다”는 것이었다. “공공 기관이나 국가 기간망, 정부 기관, 교육과 의료 시스템을 공격하려는 자와는 사업을 같이 하지 않겠다”는 게 레빌의 새로운 방향성이다. 또한 고객들과의 소통도 비밀리에 진행하기 시작한 상황이라고 한다.

다크사이드 사태와 레빌의 새로운 규정 때문에 RaaS 운영자들 사이에서 “국가가 크게 신경 쓸 만한 인프라나 시스템은 공격하지 않는다”는 것이 일종의 암묵적인 규칙처럼 굳어질 수 있을 것으로 보인다. 다크사이드도 콜로니얼 사태 초기에 “송유관이 공격을 당한 것은 커다란 실수”라고 밝혔었다. 그러면서 “앞으로 우리의 고객들이 더 잘 행동하도록(국가 기관을 마비시키지 않도록) 할 것”이라고도 썼었다.

다크사이드와 레빌이 이처럼 ‘얌전한 태도’로 전환한 건 이번 콜로니얼 사태처럼 국가를 송두리째 뒤집어 봐야 자신들에 좋을 것이 없기 때문이다. 실제 바이든 대통령은 콜로니얼 사태(와 여러 가지 사이버 보안 사고)를 겪고 나서 긴급 행정명령을 내려 사이버 보안 강화를 지시하기도 했다. 그러면서 실제로 다크사이드의 서버 일부가 마비되었기 때문에 다크사이드와 레빌의 조심스러운 행보에 그럴만한 이유가 있었음이 증명됐다고도 볼 수 있다.

하지만 이들의 이런 움직임을 전부 신뢰하기는 힘들다. 예를 들어 랜섬웨어 갱단인 바북(Babuk)의 경우, 처음 등장했을 때 다크사이드처럼 ‘선을 지키는 것’처럼 행동했었다. 비영리단체나 병원, 학교, 중소기업은 건드리지 않는다고 공표했었기 때문이다. 하지만 이들은 현재 워싱턴 경찰의 내부 정보를 훔쳐내 협박 중에 있다. 비밀 요원이나 정보원의 경우 신원이 노출될 때 목숨이 위험해진다는 것을 인지하고서도 말이다.

전문가들은 “랜섬웨어 공격자들이 스스로를 어떤 식으로 포장하든, 곧이곧대로 믿으면 안 된다”고 경고한다. RaaS도 일종의 사업체이고, 따라서 이미지 메이킹과 홍보 활동이 필요하고, 따라서 윤리적이라느니 선을 지킨다느니 하는 것도 일종의 광고일 가능성이 높다는 것이다.

예를 들어 메이즈(Maze)나 도플페이머(DoppelPaymer) 공격자들은 병원을 치지 않겠다고 약속하고 있으며, 실수로 병원을 감염시켰을 때 복호화 키를 무료로 제공해 준다고 한다. 하지만 넷워커(Netwalker)의 경우 병원을 공격하지 않겠다고는 하지만 실수로 병원이 감염되었을 때도 돈을 받는다.

RaaS는 그 구조 상 랜섬웨어 기술 제공자들이 고객 및 파트너사들을 일일이 제어할 수 없기 때문에 엉뚱한 곳에서 피해가 일어날 수밖에 없기도 하다. 따라서 이들의 ‘주장’을 있는 그대로 받아들인다는 건 매우 순진한 것이라는 게 보안 업계의 시각이다. 실제로 위에 예로 든, 병원을 공격하지 않겠다던 공격자들 중 그 말을 지킨 조직은 하나도 없다.

그렇기 때문에 다크사이드의 ‘은퇴 선언’ 역시 불신할 수밖에 없는 게 현재 상황이다. 전문가들은 이들에 대한 수사망이 좁혀지자 시선을 분산시키기 위해, 즉 잠시 숨어 있기 위해 선택한 것이 은퇴 선언이라고 보고 있다. 시간이 흘러 어느 정도 잠잠해지면 새로운 이름과 랜섬웨어를 들고 다시 나타날 것이라는 게 중론이다.

3줄 요약
1. 랜섬웨어 운영자 다크사이드, 몇몇 서버 장악당한 듯.
2. 이 소문이 퍼지자 다크웹에서는 범죄자들이 랜섬웨어 게시글들 지우느라 한바탕 소동.
3. 심지어 레빌도 앞으로 파트너들을 보다 엄격하게 선정하고 관리하겠다고 발표.