출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=99298

올해 2월 국제 공조로 자취를 감춘 이그레고르 랜섬웨어 운영자들이 피해자들과의 상담을 어떻게 진행해 왔는지, 공개된 녹취록을 통해 상세히 드러났다. 피해자나 수사자들이 참고할 만한 정보들이 제법 들어 있었다.

[보안뉴스 문가용 기자] 작년 악명을 떨쳤던 랜섬웨어 집단인 이그레고르(Egregor)가 피해자와 상담하면서 나왔던 대화의 녹취록이 공개됐다. 때로는 ‘깜짝 놀랄 정도로’ 신사적인 모습을 보이기도 하지만, 한편으로는 ‘만화에 나오는 악당’처럼 변한다고 IBM의 엑스포스(X-Force) 팀은 설명한다.

이들은 피해자들과의 협상을 위한 채팅 방을 따로 만들어 운영했다. 그리고 종종 “메리크리스마스”나 “새해 복 많이 받으세요”와 같은 인사말을 올리기도 했다. 협상이 한창 진행 중일 때도 그랬다. “이렇게 어려운 때 금전적으로 안정된 생활을 누리시기 위해 현명하고 지혜로운 결정을 하시길 바랍니다”와 같은 부드러운(?) 말로 협상을 진행했었다.

하지만 보다 최근에 이뤄진 것으로 보이는 대화창에서는 꽤나 딱딱한 태도를 보였다. “귀하를 어떤 식으로 분류해야 할지 모르겠군요. 협상이 어려운 대상으로 봐야 할지, 아니면 돈을 지불할 준비가 된 상태로 파악해야 할지를 말이죠. 그 분류에 따라 저희 웹사이트에 어떻게 올라갈지가 결정되거든요. 물론 그게 저희에게 크게 중요한 문제는 아닙니다.”

현재 이그레고르는 자취를 감춘 상태다. 지난 2월 국제 경찰 조직의 대대적인 공조가 진행되었기 때문이다. 하지만 IBM 엑스포스 팀과 사일러라(Cylera)는 100 페이지가 넘는 이그레고르 대화 로그를 확보하는 데 성공했고, 이를 분석해 오늘 발표했다. 분석된 대화는 2월의 국제 공조가 있기 직전 만들어진 것이다. 이 대화록을 통해 공격자들이 피해자를 어떻게 ‘다루는지’를 어느 정도 파악할 수 있었다고 한다.

100 페이지에 달하는 대화는 총 45번에 걸친 ‘협상 과정’ 중에 이뤄진 것이다. 또한 이그레고르만의 독특한 접근법이 아니라, 거의 모든 랜섬웨어 공격자들이 사용할 법한 ‘전략’과 ‘방식’을 담고 있어 이그레고르가 사라진 지금 시점에도 가치가 있는 문건이라고 한다. 최근 크게 유명세를 떨치고 있는 레빌(REvil)의 경우도 비슷한 방식으로 피해자들과 소통을 이뤄가는 것이 여러 경로로 확인되었다고 외신인 사이버스쿱은 설명한다.

먼저 이 대화록을 통해 어느 정도 확인할 수 있었던 건 랜섬웨어 갱단의 조직 구성 상태이다. IBM의 엑스포스 팀은 “피해자들과의 협상을 담당하는 사람들이 이그레고르의 핵심이 되는 것으로 보인다”고 설명한다. 랜섬웨어를 개발하거나, 범죄자들에게 유통하고, 실제 공격을 실시하는 협력자들을 대표해 목소리를 낸다는 뉘앙스가 확연이 느껴지기 때문이다.

“피해자들이 연락을 취해오면 ‘고객 응대’ 담당자가 먼저 ‘누구냐’고 정중하게 묻습니다. 그래서 피해자가 답을 하면, 그에 따라 최초의 요구 사항을 전달합니다. 대화가 계속해서 진행되고, 이그레고르 측에서는 다른 팀원들을 거론하기도 합니다. 이런 식이죠. ‘저는 고객 대응 담당일 뿐입니다. 저희 금융팀이나 PR팀과 대화해 보시죠’라든가 ‘데이터 관리자, 공격 실행자가 있는데요...’ 이런 식으로 언급된 ‘팀’의 종류가 IT 전담팀, 공개 관리 팀 등 생각보다 많습니다.”

또 하나 흥미로운 건 공격자들이 피해자에 대해 꽤나 상세히 파악하고 있는 것으로 보인다는 것이다. 한 피해자와의 상담 중 이그레고르 운영자는 “귀하가 돈을 내시지 않을 경우 받으실 피해액을 산정했고, 그 피해액의 5~10% 선에서 돈을 요구하고 있는 것”이라고 설명하기도 했었다.

엑스포스 팀은 많은 조직을 구성되어 있다는 것과 피해자의 상황을 잘 파악하고 있다는 것이 어느 정도는 사실일 것이라고 보고 있다. 다른 범죄 조직들에서도 비슷한 양상이 나타나는 것이 과거 보고된 바 있기 때문이다. 랜섬웨어 피해자나 협상 경험자들 중 공격자들이 ‘우리는 수가 많다’는 식으로 말하는 걸 들어본 사람이 적지 않다.

그러나 대화록을 분석하면서 IBM 엑스포스 팀이 가장 큰 성과라고 여긴 건 피해자들이 협상에서 유리한 고지를 점할 확률을 높이는 방법을 찾아냈다는 것이라고 한다. 이그레고르 운영자들은 피해자들과 대화를 나누며 꽤나 많은 부분 동정심을 표현했다. 심지어 피해자가 스스로를 자선단체라고 밝히자 무료로 복호화 도구를 제공하기도 했다. 대가는 매체에 이그레고르에 그러한 ‘선행’을 대대적으로 알리는 것이었다.

그렇다고 해서 이들이 마음 약한 사람들인 건 아니다. 대다수의 경우 피해자가 돈을 낼 수 없다고 할 때 데이터를 무자비하게 공개하는 모습을 보였기 때문이다. 결국 범죄자는 범죄자라는 것이 IBM 측의 설명이다. 하지만 “명성에 꽤나 신경을 쓰는 건 모든 랜섬웨어 운영자들에게서 나타나는 공통적 특징”이라는 것 또한 사실이라고 IBM은 지적한다. 랜섬웨어도 일종의 산업과 같은 구조를 가지고 있어 경쟁자들이 많고, 따라서 신뢰를 잃으면 랜섬웨어 운영자들 스스로에게도 큰 손해가 되기 때문이다.

그렇기 때문에 피해자가 기억해야 할 건 “협상을 처음부터 포기해서는 안 된다”는 것이라고 IBM은 결론을 내린다. 무자비한 범죄자인 건 맞지만, 여러 경쟁자들과의 싸움을 벌이는 사업 운영자이기도 하기 때문에 피해자가 어느 정도는 고객의 입장에서 상황을 이어갈 수 있다는 것이다. 크게 자극하지 않되, 명성과 관련된 조건을 내걸면서 협박금의 가격을 조금 내릴 수 있다는 게 IBM의 설명이다.

한편 피해자가 “우리에게 그만한 돈이 없다”고 말하는 경우가 대단히 많았다. 그럴 때 이그레고르의 운영자들은 “세금 관련 문건을 달라”고 요구했다. 돈이 얼마나 있는지 혹은 정말 없는지 직접 확인하겠다는 것이다. 한 피해자의 경우 “민감한 정보라 공개할 수 없다”고 받아쳤다. 그러자 이그레고르 운영자들은 “그러면 가난하다는 걸 증명하지 못하겠군요”라고 답했다. 어지간한 피해자들의 대응에 대해 ‘매뉴얼이 구축된 느낌’이라고 IBM 측은 설명한다.

이그레고르가 최초로 요그하는 금액은 대략 500만 달러 수준이었다. 하지만 피해자들이 실제로 낸 금액은 평균 40만 달러가 조금 안 됐다. 협상이 어느 정도 통한다는 의미가 된다. 그러나 감정에 호소하는 경우(예 : “장인에게 돈을 빌렸는데, 이번 휴가 때 어떻게 얼굴을 봐야 할지 모르겠다”, “코로나 때문에 사업이 흔들리고 있다”, “지금 월급 수준으로는 감당이 안 된다” 등)에 이그레고르는 큰 요동이 없었다. 최소 10만 달러는 내야 한다는 말을 반복적으로 할 뿐이었다.